Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

La encriptacion de ficheros en Linux y Windows

La encriptación de ficheros en Linux y Windows: de los años 2000 a 2026

En la era de los años 2000, cuando los discos duros eran pequeños y las amenazas digitales menos sofisticadas, el cifrado de archivos era una práctica reservada a entornos corporativos y usuarios paranoicos. Herramientas como PGP (Pretty Good Privacy), EFS de Windows 2000 y BestCrypt representaban el estado del arte. La principal preocupación era proteger documentos confidenciales contra el acceso físico no autorizado, y la gestión de claves era un desafío logístico: si la única persona con la contraseña desaparecía, los datos se perdían para siempre.

Hoy, en 2026, el cifrado es una expectativa básica, no un lujo. El 71% de las empresas cifran datos en reposo, Linux domina las máquinas virtuales en la nube con dm-crypt/LUKS, y Windows 11 incluye cifrado automático en muchos dispositivos modernos. El panorama ha cambiado radicalmente.

Conceptos fundamentales: cifrado de archivos vs cifrado de disco

Es importante distinguir dos enfoques:

Cifrado de archivos y carpetas (file-level encryption): Cifra elementos específicos. El usuario selecciona qué proteger. Ejemplos: EFS (Windows), GnuPG, 7-Zip, AxCrypt.

Cifrado de disco completo (Full Disk Encryption, FDE): Cifra todo el contenido de una partición o disco. Es transparente para el usuario una vez desbloqueado. Ejemplos: BitLocker (Windows), LUKS (Linux), VeraCrypt, FileVault (macOS).

Cifrado en Windows: de EFS a BitLocker y Device Encryption

EFS (Encrypting File System)

EFS es la solución de cifrado a nivel de archivo integrada en Windows desde Windows 2000. Opera sobre el sistema de archivos NTFS y es transparente para el usuario: una vez configurado, Windows cifra y descifra automáticamente los archivos al guardarlos o abrirlos. No es necesario descifrar manualmente para trabajar, como erróneamente sugería el artículo original.

Características:

  • Cifrado híbrido: usa una clave simétrica única por archivo (FEK, File Encryption Key) protegida por criptografía asimétrica (clave pública/privada del usuario).
  • Algoritmo: AES en versiones modernas de Windows.
  • Recuperación: admite Agentes de Recuperación de Datos (DRA) configurados por el administrador. Sin DRA ni copia de seguridad del certificado, los archivos son irrecuperables si el usuario pierde su clave privada.

Limitaciones en 2026:

  • No disponible en Windows 11 Home. Requiere ediciones Pro, Enterprise o Education.
  • Solo funciona en volúmenes NTFS. No compatible con exFAT, FAT32 ni ReFS.
  • No protege contra malware que ejecute con los privilegios del usuario (el malware ve los archivos descifrados).
  • No es cifrado de disco completo; otros usuarios del sistema pueden ver nombres de archivo y metadatos.

BitLocker (cifrado de disco completo)

BitLocker es el estándar de cifrado de disco completo en Windows. Introducido en Windows Vista, ha evolucionado hasta soportar TPM 2.0, XTS-AES-128/256 y autenticación pre-arranque.

En Windows 11:

  • Ediciones Pro/Enterprise/Education: BitLocker disponible con configuración manual.
  • Windows 11 Home: Device Encryption (cifrado automático si el hardware lo soporta, con clave vinculada a la cuenta Microsoft). No es BitLocker propiamente dicho, pero ofrece cifrado de disco completo.

Alternativas modernas para Windows

  • VeraCrypt: Sucesor auditado de TrueCrypt (descontinuado en 2014). Soporta AES, Serpent, Twofish y, desde 2026, Argon2id para derivación de claves. Multiplataforma (Windows, Linux, macOS).
  • AxCrypt Premium: Cifrado de archivos con AES-256, compartición segura mediante criptografía de clave pública, MFA. Soporta Windows, macOS, Android, iOS.
  • 7-Zip: Compresión con cifrado AES-256 para archivos individuales. Gratuito y multiplataforma.
  • Cryptomator: Cifrado de archivos para almacenamiento en la nube (Dropbox, Google Drive). Código abierto, AES-256.

Cifrado en Linux: de PPDD a LUKS2 con Argon2id

El artículo original afirmaba que «las posibilidades se limitan drásticamente» en Linux, lo cual es completamente incorrecto en 2026. Linux posee el ecosistema de cifrado más robusto y maduro del mercado.

LUKS2 (Linux Unified Key Setup 2)

LUKS2 es el estándar de facto para cifrado de disco en Linux, implementado sobre el módulo del kernel dm-crypt. Todas las distribuciones principales (Ubuntu, Fedora, Debian, Arch, RHEL) lo incluyen por defecto.

Características en 2026:

  • Argon2id: Reemplaza a PBKDF2 como función de derivación de claves. Es resistente a ataques de GPU y fuerza bruta.
  • AES-XTS-plain64 con clave de 512 bits (256 bits efectivos de AES).
  • 32 ranuras de clave (vs 8 en LUKS1), permitiendo múltiples contraseñas, tokens TPM y llaves FIDO2 simultáneamente.
  • Integración con TPM2 y FIDO2: Desbloqueo automático del disco sin contraseña en cada arranque, manteniendo la seguridad.
  • Cifrado online: Posibilidad de re-encriptar discos en uso sin desmontar.

Configuración típica en Ubuntu 24.04 LTS:

  • Cifrado completo del disco durante la instalación con opción «Usar LVM con cifrado».
  • Soporte experimental para desbloqueo mediante TPM (Trusted Platform Module).

Alternativas modernas para Linux

  • VeraCrypt: Multiplataforma, soporta contenedores cifrados y cifrado de sistema. Argon2id desde 2026.
  • Tomb: Script de shell que crea «tumbas» cifradas usando LUKS. Popular entre usuarios avanzados por su simplicidad y transparencia.
  • GnuPG (GPG): Implementación libre de OpenPGP para cifrado de archivos individuales y correo electrónico.
  • Xecrets Ez: Alternativa multiplataforma (Windows, Linux, macOS) derivada de AxCrypt. Cifrado de archivos sin necesidad de instalación.

Gestión de claves y recuperación: de la paranoia a la práctica

El artículo original abordaba correctamente el dilema de la custodia de claves: si una sola persona controla la clave y desaparece, los datos se pierden. Este problema persiste, pero las soluciones han evolucionado.

Shamir’s Secret Sharing (el concepto de «mini-claves»):
El artículo mencionaba dividir la clave entre 5 personas donde 3 podían reconstruirla. Esto se conoce como esquema de umbral (t,n) y sigue siendo válido. Herramientas modernas como ssss (Shamir’s Secret Sharing Scheme) implementan esto en Linux.

Soluciones empresariales actuales:

  • Agentes de Recuperación de Datos (DRA) en Windows EFS.
  • Escrow de claves en entornos corporativos con LUKS2 (hasta 32 ranuras de clave).
  • HSM (Hardware Security Modules) para custodia de claves en entornos críticos.
  • BitLocker Recovery Key almacenada en Active Directory o cuenta Microsoft.

Listado comparativo: Evolución del cifrado en Windows y Linux

Cifrado de archivos individuales

  • En 2000: PGP (estándar, implementaciones comerciales), EFS (Windows 2000), BestCrypt.
  • En 2010: TrueCrypt (contenedores), GnuPG (OpenPGP libre), 7-Zip (cifrado AES).
  • En 2026: EFS sigue disponible en Windows Pro+ (transparente, NTFS). AxCrypt, Xecrets Ez, GnuPG, 7-Zip para cifrado de archivos específicos. Cryptomator para nube.
  • En Linux: GnuPG, Tomb, VeraCrypt contenedores. Ninguna limitación; ecosistema muy maduro.

Cifrado de disco completo (FDE)

  • En 2000: BestCrypt (Windows/Linux), PGPDisk (predecesor de algunas funciones de PGP).
  • En 2010: BitLocker (Windows Vista/7), LUKS1 (Linux), TrueCrypt (multiplataforma).
  • En 2026: BitLocker con TPM 2.0 (Windows Pro+), Device Encryption (Windows 11 Home). LUKS2 con Argon2id (estándar Linux). VeraCrypt con Argon2id (multiplataforma).
  • En Linux: LUKS2 con soporte TPM2/FIDO2, re-encriptado online, 32 ranuras de clave.

Seguridad y algoritmos

  • En 2000: DES/3DES, RC4, IDEA (PGP original). PBKDF2 para derivación.
  • En 2010: AES-128/256, SHA-1/SHA-256. PBKDF2 con miles de iteraciones.
  • En 2026: AES-256-XTS (BitLocker, LUKS2), AES-XTS-plain64 (LUKS2). Argon2id (reemplazo de PBKDF2, resistente a GPU). ChaCha20-Poly1305 en algunos contextos modernos.

Conclusión

El artículo original, escrito en la era de Windows 2000 y el kernel Linux 2.4, reflejaba correctamente las limitaciones de su época: herramientas fragmentadas, gestión de claves compleja y un ecosistema Linux menos maduro. Sin embargo, afirmar que «las posibilidades se limitan drásticamente» en Linux era ya entonces un exceso, y en 2026 es completamente incorrecto.

Hoy, Linux lidera el cifrado de infraestructura con LUKS2, Argon2id e integración TPM/FIDO2, mientras que Windows ofrece soluciones integradas como BitLocker y Device Encryption para usuarios y empresas. Para cifrado de archivos individuales, herramientas como VeraCrypt, GnuPG, AxCrypt y 7-Zip ofrecen opciones robustas y accesibles en ambas plataformas.

La regla fundamental no ha cambiado: sin la clave, no hay datos. Pero las herramientas para gestionar esa clave de forma segura —escrow, DRA, Shamir’s Secret Sharing, HSM— han evolucionado hasta hacer el cifrado práctico para cualquier usuario, no solo para paranoicos o grandes corporaciones.

Ciberseguridad