En esencia, no tengo miedo a equivocarme; casi todo lo que sé, lo aprendí perdiendo.
No hay frase que me identifique mejor que la anteriormente descrita y, si me preguntan a quién pertenece, la verdad es que no lo sé. La he leído en tantos sitios y reproducida de tantas formas diferentes que no sabría realmente cuál es su origen. Tanto es así que también decidí modificarla para mi caso en particular. La cuestión es que he aprendido a mantener mis datos de la peor forma: perdiéndolos.
Seguramente, quienes me conozcan desde hace tiempo sabrán que tengo unos límites de paranoia medianamente altos, al menos en tiempos pasados, cuando comencé a introducirme en el mundo de la privacidad y seguridad en línea. De ahí que definiera mi modelo de amenaza como alto desde los inicios, porque quería aplicar lo mejor posible todo lo que solía escribir.
Desde el principio, me caractericé por exigir que todas mis instalaciones de GNU/Linux tuvieran cifrado de disco completo. Esto era fundamental, ya que en caso de que mi dispositivo cayera en manos no deseadas, nadie podría acceder a la información almacenada bajo ninguna circunstancia. Con el tiempo, empecé a experimentar con volúmenes cifrados y volúmenes ocultos, buscando aplicar técnicas de negación pausible en caso de ser forzado a revelar mis contraseñas.
En este contexto, la negación pausible se refiere a una técnica utilizada en cifrado de discos que permite ocultar un volumen adicional dentro de un volumen cifrado principal. Esta estrategia es especialmente útil en situaciones donde un usuario podría ser coaccionado para revelar la contraseña de su volumen principal. Con un volumen oculto, aunque un atacante logre obtener la contraseña del volumen principal, no podrá acceder a los datos del volumen oculto, ya que este tiene su propia contraseña distinta y es completamente invisible sin ella.
La clave de la negación pausible es poder negar, de manera creíble, la existencia de datos secretos, incluso cuando se está bajo presión. Si alguien me obligara a revelar la contraseña del volumen principal, podría decir, de forma convincente, que no hay ningún volumen oculto, sin que el atacante pueda refutarlo fácilmente. Esto es posible porque, al no existir ninguna prueba directa de la existencia del volumen oculto, la negación resulta creíble.
Este enfoque me permitió aplicar una capa adicional de protección a mis datos. El volumen oculto, aunque accesible solo con una contraseña diferente, permanecería a salvo incluso si el volumen principal fuera comprometido. La negación pausible se convierte, entonces, en una medida clave de seguridad para proteger información sensible en situaciones de vulnerabilidad.
A pesar de ser un protocolo de primer nivel en seguridad, sí resta bastante usabilidad. Esto se debe a que, constantemente, tu equipo está realizando operaciones paralelas para garantizar que todo lo que se mueva, copie o integre quede cifrado de manera completa (con el cifrado de disco completo). Como resultado, en el proceso se pierde tiempo, sin mencionar la gestión de los volúmenes ocultos, que requiere paciencia y conocimiento. Un mal movimiento y podrías perderlo todo.
Cabe aclarar que dicha gestión ha mejorado considerablemente con el tiempo, tanto en lo que fue TrueCrypt, como en su sucesor, VeraCrypt, en la actualidad. Ahora bien, hay otro punto importante: el mantenimiento de este software, que en algunos momentos genera algo de desconfianza en la comunidad. Al no estar respaldado por una organización grande, suelen surgir demasiados interrogantes en el camino. Otro aspecto a considerar es el ritmo de actualizaciones: la última versión estable de VeraCrypt fue lanzada el 1 de octubre de 2023, lo que deja una brecha importante en cuanto a lo que puede o no suceder (y saben a qué me refiero). Aunque ha tenido auditorías (aunque no tan rigurosas), sigue siendo considerado uno de los mejores proyectos para garantizar la seguridad. Tal vez, hasta que surja algo mejor. Y no, no me mencionen BitLocker de Microsoft.
Al final me pregunté: ¿Tanto para qué? Así que decidí dejar de utilizar dicho método para centrarme en el cifrado de disco de las distribuciones que utilizaba, siendo LUKS el que usa AES (Advanced Encryption Standard) como el algoritmo de cifrado por defecto, con una clave de 256 bits. Sin embargo, LUKS permite la configuración de otros algoritmos de cifrado, aunque AES es el más comúnmente utilizado debido a su balance entre seguridad y rendimiento. Siendo un estándar en todas las distribuciones que implementan el gestor de instalación Calamares, uno creería que es la mejor opción, y así lo fue por mucho tiempo, hasta que un día tuve un fallo en mi sistema relacionado con un corte de energía. Cuando traté de recuperar los datos, no pude hacer nada; todo estaba corrupto. ¿Cumplió su cometido? Puede ser, pero fue decepcionante.
Mi salvación: la regla de Backup 3-2-1
La regla de Backup 3-2-1 es una estrategia de respaldo de datos que se utiliza para garantizar la protección y recuperación de información importante en caso de pérdida, corrupción o desastre.
¿Qué es la regla 3-2-1? La regla 3-2-1 establece lo siguiente:
- 3 copias de tus datos: Debes tener tres copias de tus datos importantes. Esto incluye la copia original y al menos dos copias de respaldo.
- 2 tipos de medios de almacenamiento diferentes: Las copias de respaldo deben estar almacenadas en dos tipos diferentes de dispositivos. Por ejemplo, una copia en un disco duro interno, y otra en un servicio de almacenamiento en la nube o un disco duro externo. Esto asegura que, si un dispositivo falla, aún haya una copia de los datos en otro medio distinto.
- 1 copia fuera del sitio: Al menos una de las copias de respaldo debe almacenarse en un ubicación diferente, preferiblemente fuera de tu sitio físico. Esto puede ser una copia en la nube o en un disco duro ubicado en una ubicación remota (por ejemplo, un centro de datos o una unidad de almacenamiento en una ubicación geográfica diferente). Esto es fundamental para proteger tus datos contra desastres físicos, como incendios o robos.
Este es el mejor método existente para garantizar que tus datos jamás desaparezcan, es lo que he venido aplicando todo este tiempo para evitar grandes perdidas porque sí, las he tenido, hay datos “sensibles” que nunca he respaldado por temor a que caigan en manos de quién no pertenecen, pero al final, jamás he podido volver a contar con ello.
Generalmente siempre veo mucha gente dentro de la comunidad de la privacidad y seguridad en línea desaconsejando energicamente la utilización de los servicios de la nube, qué sí, finalmente es un ordenador y/o centro de datos de alguien más, pero en mi caso, con lo que he vivido puedo decirles una cosa: no hay nada más refrescante que sabe que algo que perdiste, lo tienes respaldado en alguno de esos servicios y puedes obtenerlo cuantas veces quieras ¿Qué donde queda la seguridad? Pues, desaconsejo respaldar en la nube contenido demasiado sensible o si lo vas a hacer, hazlo de manera cifrada o por partes (comprimes el archivo en dos partes diferentes y ambas partes las respaldas en dos diferentes servicios, cuando lo necesites es solo unir esos dos y listo) es la forma en que la seguridad no es un impedimento para la usabilidad.
Es demasiada responsabilidad mantener grandes cantidades de información. Si lo piensas bien y analizas tu disco, con los años las gigas van sumando y sumando: entre programas y basura informática, ahí yacen nuestras fotos, nuestros escritos, nuestra música, documentos de estudio y trabajo, en fin, toda una historia de vida que solo está ahí, nuestro mayor tesoro, del que debemos garantizar que siempre nos acompañe en nuestra estancia en este plano de vida.
Por lo tanto, aunque no se puede delegar esta responsabilidad a una sola nube (que también tiene riesgos de exposición y pérdida de datos), mi visión ha cambiado hacia el uso de múltiples servicios. Paralelamente, mantener toda esa documentación en diferentes servicios en la nube me da una opción de recuperación por si yo fallo (lo cual he comprobado que estoy demasiado propenso a hacer). Así, si llegara a fallar, tendré una forma de reincorporarme, y qué mejor que confiar esa información en alguien más. Al menos tendré algo a lo que señalar y echar la culpa, lo cual no recaerá solo en mí.
Espero que estén captando el punto. Más allá de la informática, esto tiene un valor filosófico de aceptación y otros dogmas que demuestran que, más allá de nuestros esfuerzos, pueden existir causas externas que nos imposibiliten alcanzar nuestros objetivos (neutralizar la frustración).
Conclusión
Muchas veces, menos es más, y aquí podemos ver cómo se puede garantizar, de cierta forma, esa “seguridad” sin perder la usabilidad de nuestro sistema. Además, debemos tener muy en cuenta interrogantes como: ¿Cuál es nuestro límite? ¿Vale la pena? Es importante definir conscientemente nuestro modelo de amenaza, porque realmente no vale la pena utilizar el protocolo de cifrado más avanzado del mundo para asegurar tres fotos de gatos que fácilmente puedes encontrar en la red. En definitiva, debe haber un sentido que justifique todo el esfuerzo para asegurar tal información.
Por otro lado, se debe asegurar dicha información con protocolos que conozcas bien, que sepas cómo funcionan y cuáles son sus pros y contras, para que, en caso de algún fallo, sepas cómo regresar atrás sin grandes daños. Esto me ocurrió en su momento con Kubuntu, cuando estuve probando el cifrado CryFS, el cual me parece lamentable. Se suponía que estaba bien probado y, por ende, fue integrado en la versión estable. Decidí cifrar todos mis datos en sus “cajas”, pero un día, después de un reinicio, encontré todos los datos corruptos. Después de intentar mil cosas para recuperarlos, basándome en la documentación oficial, me di cuenta de que era una pérdida de tiempo. Al preguntar directamente a su desarrollador en GitHub, lo único que me respondió fue: “Ups…”. Me di cuenta de que había otros usuarios a quienes también les había sucedido lo mismo, entre cambios de versiones. De ahí que cargara directamente contra ellos y los desarrolladores principales: ¿Por qué integran versiones no estables? Esto interrumpe la rama actual por la que se va, lo cual carece totalmente de sentido.
De ahí a que ahora cifro menos y respaldo más; si quiero seguridad procedo a respaldar todo en un disco externo y listo.
¡Hola, Gato!
¡Pero qué buen artículo! ¡Extenso, fácil de leer, didáctico y práctico! 👏👏👏👏👏
Este es el tipo de artículo que es digno de publicarse en un medio dedicado a la tecnología, pero no como una «noticia», sino como un artículo de opinión, de esos que permiten descubrir que el autor del texto no fue la única persona por la que haya pasado por una situación de tales características. Un artículo de noticia, hoy en día, lo podría generar un modelo extenso lenguaje, EN SEGUNDOS, con una escueta revisión humana posteriormente, pero un artículo como este, contando el contexto, describiendo la experiencia propia de usar una herramienta u otra, sus metodologías y sus resultados, es algo típicamente humano que ningún LLM podrá generar; y es, además, el tipo de contenido que lo hace original y que, ciertamente, despierta el interés, incluso de gente que nunca se topó con una situación así.
Hace unos meses estaba buscando vanamente unos archivos en mi computadora, por si de casualidad todavía los tenía. Digo «vanamente», ya que se trataba de archivos de casi dos décadas de antigüedad, y como en ese período se me habían roto varios discos rígidos, pensé que probablemente perdí esos archivos allí. Se me dio por consultar un servicio de almacenamiento en la nube, dudando que haya hecho una copia de seguridad. ¡Eureka! ¡Agradezco a mi yo del pasado por haberse tomado la molestia! 😃 Y, por supuesto que estoy hablando de archivos personales, no de algo que se pueda encontrar en torrents.
Así que adhiero plenamente a lo que comentás: usar varios servicios de la nube y subir nuestras carpetas y archivos cifrados con contraseñas terroríficas para cualquier sistema de fuerza bruta, pero que sean fáciles de recordar para nosotros.
¡Excelente artículo, Gato! Una de las mejores lecturas de este 2025. 👌
Y hablando de años, ¡feliz cumpleaños atrasado! 😅 No tengo excusa, se me pasó por alto, sinceramente. Espero prestar más atención dónde estoy parado para el año que viene. 🙏