El cifrado de SDD como pieza clave de la ciberseguridad. Aunque el almacenamiento en estado sólido ofrece numerosas ventajas de rendimiento y fiabilidad, también presenta riesgos cibernéticos que no pueden pasarse por alto.
Es esencial comprender y abordar las vulnerabilidades asociadas a las unidades SSD mediante una combinación de prácticas de seguridad, como el cifrado de datos, la gestión de claves, el borrado seguro de datos y la protección física. Solo adoptando un enfoque integral de la seguridad se puede garantizar la protección de los datos sensibles almacenados en las unidades de estado sólido.
Cifrado de SDD: una tecnología en constante evolución
Las unidades SSD cifradas existen desde hace más de una década, pero muchos profesionales y administradores de sistemas aún no las comprenden del todo. El punto de partida es comprender cómo su evolución tecnológica está estrechamente ligada a la creciente concienciación sobre la seguridad de los datos y a las necesidades cada vez más estrictas de las organizaciones y los usuarios finales. Las unidades de estado sólido deben protegerse en el centro de datos, pero también cuando se retiran de la matriz y al final de su vida útil, cuando se desechan.
De hecho, en los últimos años, los fabricantes de unidades SSD han desarrollado e implementado diversas tecnologías de cifrado para garantizar la seguridad de los datos, introduciendo algoritmos cada vez más complejos y seguros, así como soluciones de gestión de claves cada vez más sofisticadas, que ofrecen una sólida protección de los datos tanto en movimiento como en reposo.
Cómo funciona la encriptación de las SSD
La mayoría de las SSD son unidades con autocifrado (SED) que admiten el cifrado interno a través de un chip de cifrado incorporado.
Sin embargo, existen distintos niveles de cifrado, distintas razones para utilizarlo y distintos proveedores. Para elegir la solución de referencia, hay que tener en cuenta múltiples aspectos, empezando por el principio de funcionamiento.
Un SED cifra los datos a medida que se escriben en la unidad, utilizando una palabra clave de cifrado de disco (DEK) única establecida en fábrica. Solo los usuarios que posean otra clave, la clave de cifrado de autenticación (AEK), pueden ordenar a la SSD que descifre los datos. Para los ciberdelincuentes, descifrar los datos sin la clave consumiría una cantidad de tiempo y recursos poco realista, y es esto lo que eleva los niveles de seguridad que proporciona el cifrado SSD.
La mayoría de las SSD utilizan el cifrado AES-128 o AES-256. Estos algoritmos de cifrado estándar han superado numerosas pruebas de seguridad. No es necesario pensar mucho en el tipo de cifrado de las SSD. En este caso, una empresa puede simplemente:
- borrar un SSD dado de baja porque es inesperado que un futuro usuario recupere el AEK
- invocar un comando especial para desactivar el DEK interno de la unidad, haciendo imposible recuperar los datos cifrados
Además del cifrado, existen protocolos de SSD mantenidos por el Trusted Computing Group (una organización internacional sin ánimo de lucro que crea estándares abiertos relacionados con la seguridad de la información – ed.), que verifican los datos más sensibles con una seguridad aún mayor.
Por qué es importante la encriptación de las SSD en los centros de datos…
Los clientes de un centro de datos de mediana o gran escala esperan que los servicios de la sala de máquinas incluyan la protección de sus datos. Pero un centro de datos, sea del nivel que sea, experimenta errores de hardware y de vez en cuando necesita actualizar sus sistemas. Ambos casos podrían implicar la sustitución de una vieja unidad SSD por una nueva.
La mayoría de las unidades SSD empresariales actuales ya proporcionan cifrado en el chip controlador de la unidad. Pero si una vieja SSD sigue funcionando y cae en las manos equivocadas, los datos almacenados corren el riesgo de verse comprometidos.
Sin la encriptación de las SSD, las bases de datos financieras, los historiales de los pacientes o los secretos comerciales corren el riesgo de quedar expuestos. Alguien podría acceder a esta información y causar daños al cliente del centro de datos o a los clientes o pacientes de ese cliente.
Además, los servicios de recuperación de datos pueden recuperar los chips flash de una SSD dañada o averiada, realizando una recuperación de datos para restaurar todo al estado en el que estaba antes del incidente (aunque puede ser un proceso caro, para las partes malintencionadas la inversión puede estar justificada).
Si los datos de la unidad SSD averiada están encriptados, la restauración produce datos recuperados encriptados que no pueden utilizarse sin AEK, por lo que los datos siguen estando seguros.
… y en cualquier otro punto final con almacenamiento interno.
Cambiando el razonamiento de los centros de datos a los puntos finales individuales, como los PC, las SSD pueden almacenar finanzas personales, correos electrónicos privados, proyectos y demás. Sin cifrado SSD, cualquier usuario malintencionado tiene libre acceso a cualquier tipo de datos.
Pero hay muchos otros sistemas susceptibles de sufrir robos de datos. Un ejemplo de ello fue una organización criminal que compró fotocopiadoras digitales fuera de servicio a un proveedor de servicios de impresión y examinó todos los datos almacenados en los discos duros de las fotocopiadoras.
Los clientes del centro de copiado desconocían que las copiadoras estaban equipadas con discos duros. Los delincuentes recuperaron imágenes de cientos de declaraciones de la renta con números de la seguridad social y otra información confidencial porque no se había activado el cifrado de datos de los HDD.
Productos que ofrecen cifrado SSD
La mayoría de las unidades SSD empresariales actuales ya ofrecen cifrado en el chip controlador de la SSD. Entre estos productos, los expertos hacen una lista orientativa:
- Todas las unidades SSD empresariales de Kioxia
- Las series 5400, 6500 ION, 7450, 9400 y XTR de Micron
- La línea Nytro de unidades SSD SATA y SAS de Seagate
- Todas las SSD de Samsung
- La mayoría de las SSD para centros de datos de Solidigm
- Las cuatro líneas de unidades SSD cifradas para centros de datos de Western Digital: las Ultrastar DC SN640, 650, 655 y 840