El cifrado de los discos es cada vez más importante. Ante un robo o una pérdida, si nuestro disco está cifrado y correctamente protegido nuestros datos quedarán almacenados de forma segura, lejos del control de usuarios no autorizados. Algunos discos, especialmente los discos externos, aplican el cifrado de los datos de forma automática para garantizar la seguridad de los datos de sus usuarios, sin embargo, los algoritmos utilizados no son especialmente seguros en la mayoría de los casos.
Western Digital es uno de los principales fabricantes de discos duros del mercado. Al igual que sus rivales dentro de su extenso catálogo cuenta con excelentes discos duros internos y una gran variedad de discos externos vía USB. Algunos modelos de estos últimos cifran de forma automática los datos de los usuarios para protegerlos de accesos no autorizados.
Muchos usuarios confían en este tipo de cifrado automático para proteger los datos, sin embargo, los algoritmos que utilizan los discos de la compañía no son tan seguros como deberían. Un grupo de investigadores de seguridad ha descubierto una serie de vulnerabilidades en lo que se conoce como el «autocifrado de datos» por hardware de los discos duros externos del fabricante Western Digital que puede permitir a usuarios no autorizados acceder sin problemas a los datos almacenados.
Los principales discos duros afectados por estas vulnerabilidades son los My Passport, modelo muy utilizado y apreciado por los usuarios debido a su gran precio, excelente rendimiento y a su tamaño de 2.5 pulgadas. En teoría, los usuarios podrían configurar una contraseña de cifrado de daros de manera que ningún usuario sin dicha clave podría acceder a los mismos, sin embargo, esto no es así.
Según los investigadores de seguridad, un atacante puede adivinar la clave de cifrado en un corto periodo de tiempo utilizando un PC convencional. El principal problema es que estos discos duros hacen uso de la función rand() del lenguaje de programación C, un comando muy simple que genera una clave pseudo-aleatoria. Además, la clave utilizada es de tan solo 32 bits, una protección muy débil que cualquier PC puede romper fácilmente en poco tiempo.
Otro fallo de seguridad presente en algunos modelos concretos es que la clave de descifrado se almacena sin cifrar en el propio disco duro, lo que permite a un atacante no tener ni siquiera que romper la clave y utilizar este fichero para acceder a los datos.
Podemos leer un completo documento sobre las vulnerabilidades de estos discos duros en el siguiente enlace.
Los responsables de Western Digital han afirmado que sus propios investigadores de seguridad se encuentran estudiando el problema, pero no han hablado sobre el lanzamiento de un parche de seguridad ni una nueva versión de firmware para los discos afectados que garantice una seguridad a la altura. Lo mejor es no utilizar estos discos para guardar información personal y sensible en ellos o, si los utilizamos, guardar dicha información protegida por otras aplicaciones como VeraCrypt, la cual es sinónimo de seguridad.
Esta noticia se da a conocer el mismo día que la compañía anuncia la compra de SanDisk. Un inteligente movimiento teniendo en cuenta la popularidad que están ganando las unidades SSD como sucesoras de los discos duros convencionales. ¿Veremos en breve unidades SSD de Western Digital? Probablemente. El tiempo lo dirá.
¿Confías en el autocifrado de los discos duros? ¿Guardas información sensible en ellos sin una capa de cifrado adicional?