Cifrado de datos

Kaspersky Endpoint Security le permite cifrar las carpetas y los archivos almacenados en las unidades locales y extraíbles, o las unidades extraíbles y los discos duros por completo. El cifrado de datos minimiza el riesgo de filtraciones de información que se puede producir en caso de pérdida o robo del equipo portátil, unidad extraíble o disco duro, o cuando usuarios y aplicaciones no autorizados acceden a los datos. Kaspersky Endpoint Security utiliza el algoritmo de cifrado AES (del inglés "Advanced Encryption Standard").

Si la licencia ha caducado, la aplicación no cifra datos nuevos, y los datos cifrados antiguos permanecen cifrados y disponibles para su uso. En este caso, para cifrar nuevos datos se requiere activar la aplicación con una nueva licencia que permita el uso de cifrado.

Si la licencia ha caducado, si no se ha cumplido el Contrato de licencia de usuario final, si se ha eliminado la clave de licencia o los componentes de cifrado, o si se ha desinstalado Kaspersky Endpoint Security, no se garantiza que los archivos cifrados previamente se encuentren cifrados. La razón es que algunas aplicaciones, como Microsoft Office Word, crean una copia temporal de los archivos cuando se modifican. Cuando se guarda el archivo original, la copia temporal sustituye al archivo original. Por lo tanto, en un equipo que no disponga de funcionalidad de cifrado, o un equipo en la que esta funcionalidad no sea accesible, el archivo permanece sin cifrar.

Kaspersky Endpoint Security ofrece las siguientes características de protección de datos:

• Cifrado de archivos en unidades locales del equipo. Puede compilar listas de archivos por extensión o grupos de extensiones y listas de carpetas almacenadas en las unidades del equipo local, así como crear reglas para el cifrado de los archivos creados por aplicaciones específicas. Después de aplicar una directiva, Kaspersky Endpoint Security cifra y descifra los archivos siguientes:
  • archivos añadidos individualmente a listas para su cifrado y descifrado;
  • archivos almacenados en carpetas añadidos a listas para su cifrado y descifrado;
  • Archivos creados por aplicaciones separadas.
• Cifrado de unidades extraíbles. Puede especificar una regla de cifrado predeterminada para que la aplicación lleve a cabo la misma acción en todas las unidades extraíbles o especificar reglas de cifrado de unidades extraíbles particulares.

  La prioridad de la regla de cifrado predeterminada es más baja que la de las reglas de cifrado creadas para unidades extraíbles particulares. La prioridad de las reglas de cifrado creadas para las unidades extraíbles del modelo de dispositivo especificado es más baja que la de las reglas de cifrado creadas para las unidades extraíbles cuyo ID de dispositivo es el especificado.

  Para seleccionar una regla de cifrado de los archivos de una unidad extraíble, Kaspersky Endpoint Security comprueba si se conocen el modelo de dispositivo y el ID. A continuación, la aplicación realiza una de las siguientes operaciones:

  • Si se conoce el modelo de dispositivo únicamente, la aplicación utiliza la regla de cifrado (si existe alguna) creada para las unidades extraíbles del modelo de dispositivo especificado.
  • Si se conoce el ID de dispositivo únicamente, la aplicación utiliza la regla de cifrado (si existe alguna) creada para las unidades extraíbles con el ID de dispositivo especificado.
  • Si se conocen el modelo de dispositivo y el ID, la aplicación utiliza la regla de cifrado (si existe alguna) creada para las unidades extraíbles con el ID de dispositivo especificado. Si no existe tal regla, pero sí una regla de cifrado creada para unidades extraíbles con el modelo de dispositivo específico, la aplicación aplica esta regla. Si no se especifica ninguna regla de cifrado para el ID de dispositivo específico del modelo de dispositivo concreto, la aplicación aplica la regla de cifrado predeterminada.
  • Si no se conocen el modelo de dispositivo ni el ID de dispositivo, la aplicación utiliza la regla de cifrado predeterminada.

  La aplicación le permite preparar una unidad extraíble para que pueda utilizar los datos cifrados que contiene en modo portátil. Una vez que active el modo portátil, puede acceder a los archivos cifrados de las unidades extraíbles conectadas al equipo sin la necesidad de disponer de la funcionalidad de cifrado.

• Gestión de reglas de acceso de las aplicaciones a los archivos cifrados. Para cualquier aplicación, puede crear una regla de acceso a archivos cifrados que bloquee el acceso a archivos de este tipo o lo permita solo como ciphertext, que es una secuencia de caracteres que se obtiene cuando se aplica el cifrado.
• Creación de paquetes cifrados. Puede crear archivos comprimidos cifrados y proteger el acceso a dichos archivos mediante una contraseña. Solo se puede acceder al contenido de los archivos comprimidos cifrados por medio de las contraseñas con las cuales se protegió el acceso a dichos archivos comprimidos. Dichos archivos comprimidos se pueden transmitir de forma segura a través de redes o por medio de unidades extraíbles.
• Cifrado de disco completo. Puede seleccionar una tecnología de cifrado: Cifrado de disco de Kaspersky o Cifrado de unidad BitLocker (en adelante también llamado simplemente "BitLocker").

  BitLocker es una tecnología que forma parte del sistema operativo Windows. Si un equipo está dotado de un módulo de plataforma segura (TPM), BitLocker lo utiliza para almacenar claves de recuperación que proporcionan acceso a un disco duro cifrado. Cuando el equipo se inicia, BitLocker solicita las claves de recuperación del disco duro desde el módulo de plataforma segura y desbloquea la unidad. Puede configurar el uso de una contraseña y un código PIN para acceder a las claves de recuperación.

  Puede especificar la regla de cifrado de disco completo predeterminada y crear una lista de discos duros que se deben excluir del cifrado. Kaspersky Endpoint Security realiza un cifrado de disco completo sector por sector cuando se aplica la directiva de Kaspersky Security Center. La aplicación cifra todas las particiones lógicas de los discos duros de forma simultánea.

  Después de que se hayan cifrado los discos duros del sistema, en el siguiente inicio de sesión en el equipo, el usuario debe autenticarse en el Agente de autenticación antes de que se pueda acceder a los discos duros y cargar el sistema operativo. Esto requiere la introducción de la contraseña del token o la tarjeta inteligente conectada al equipo, o bien el nombre de usuario y la contraseña de la cuenta del Agente de autenticación creada por el administrador de la red de área local que utilice la tarea Administrar cuentas del agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. También puede usar la tecnología de inicio de sesión único (SSO), que le permite iniciar sesión automáticamente en el sistema operativo utilizando el nombre de usuario y la contraseña de la cuenta del Agente de autenticación.

  Interfaz que le permite completar la autenticación para acceder a discos duros cifrados y cargar el sistema operativo después del cifrado del disco duro de arranque.

  Kaspersky Endpoint Security duplica las cuentas del Agente de autenticación si crea una copia de seguridad del equipo y cifra los datos de este, y, a continuación, restaura la copia de seguridad del equipo y vuelve a cifrar dichos datos. Para eliminar las cuentas duplicadas, debe usar la herramienta klmover con la clave dupfix. La utilidad klmover se incluye en la compilación de Kaspersky Security Center. Puede leer más sobre su funcionamiento en la ayuda de Kaspersky Security Center.

  Solo se puede acceder a discos duros cifrados en los equipos en los que se haya instalado Kaspersky Endpoint Security con la funcionalidad de cifrado de disco completo. Esta precaución minimiza el riesgo de fuga de datos de un disco duro cifrado cuando se intenta acceder a él desde el exterior de la red de área local de la compañía.

Para cifrar discos duros y unidades extraíbles, puede utilizar la función Cifrar solo el espacio en disco utilizado. Se recomienda utilizar esta función solo para dispositivos nuevos que no se hayan utilizado anteriormente. Si va a aplicar cifrado a un dispositivo que ya está en uso, se recomienda que cifre el dispositivo completo. Esto garantiza que se protegen todos los datos, incluso los datos eliminados que todavía podrían contener información recuperable.

Antes comenzar el cifrado, Kaspersky Endpoint Security obtiene el mapa de los sectores del sistema de archivos. La primera oleada de cifrado incluye los sectores que están ocupados por archivos en el momento en que se inicia el cifrado. La segunda oleada de cifrado incluye los sectores que se escribieron después de que comenzara el cifrado. Una vez que el cifrado se ha completado, todos los sectores que contienen datos están cifrados.

Una vez que el cifrado se ha completado y un usuario elimina un archivo, los sectores que almacenaban el archivo eliminado vuelven a estar disponibles para almacenar nueva información a nivel del sistema de archivos, pero permanecen cifrados. Esto quiere decir que, después de un tiempo, todos los sectores de un dispositivo nuevo terminan por cifrarse, según se van guardando archivos en él, si este se cifra regularmente con la función Cifrar solo el espacio en disco utilizado.

El Servidor de administración de Kaspersky Security Center que haya controlado el equipo durante el cifrado proporciona los datos necesarios para descifrar archivos. Si el equipo con objetos cifrados estaba administrado por un Servidor de Administración diferente por algún motivo, puede obtener acceso a los datos cifrados de una de las siguientes maneras:

• Servidores de administración en la misma jerarquía:
  • No necesita realizar ninguna acción adicional. El usuario retendrá el acceso a los objetos cifrados. Las clave de cifrado se distribuyen a todos los Servidores de administración.
• Servidores de administración separados
  • Solicite acceso a los objetos cifrados al administrador de la red de área local.
  • Restaure los datos en los dispositivos cifrados por medio de la Utilidad de restauración.
  • Mediante una copia de seguridad, restaure la configuración del Servidor de administración de Kaspersky Security Center que haya controlado el equipo durante el cifrado y utilice esta configuración en el servidor de administración que ahora controla el equipo con los archivos cifrados.

Si no hay acceso a datos cifrados, siga las instrucciones especiales para trabajar con datos cifrados (Restaurar el acceso a archivos cifrados, Trabajar con dispositivos cifrados si no existe acceso a estos).

En esta sección Limitaciones de funcionalidad del cifrado Cómo cambiar la longitud de la clave de cifrado (AES56 o AES256) Cifrado de disco de Kaspersky Administración de BitLocker Cifrado de archivos en unidades locales del equipo Cifrado de unidades extraíbles Visualización de los detalles del cifrado de datos Trabajar con dispositivos cifrados cuando no hay acceso a estos

Inicio de página