VOLVER A NOTICIAS
Investigación

Microsoft Proporciona Claves de Recuperación de BitLocker al FBI por Órdenes Judiciales

3 min de lecturaFuente: Schneier on Security

Microsoft confirma que entrega claves de recuperación de BitLocker al FBI bajo órdenes judiciales válidas, generando preocupaciones sobre privacidad y seguridad.

Microsoft Comparte Claves de Recuperación de BitLocker con el FBI en Respuesta a Solicitudes Legales

Microsoft ha confirmado que proporciona al Federal Bureau of Investigation (FBI) claves de recuperación de BitLocker para descifrar datos en dispositivos cifrados con su herramienta de cifrado de disco completo, BitLocker. Esta práctica ocurre aproximadamente 20 veces al año en respuesta a órdenes judiciales válidas, incluyendo citaciones y órdenes de registro.

Detalles Técnicos y Prácticas de Almacenamiento de Claves

BitLocker, una función de cifrado integrada en las ediciones Windows Pro, Enterprise y Education, está diseñada para proteger los datos en reposo mediante el cifrado de volúmenes completos. Los usuarios pueden almacenar sus claves de recuperación de 48 dígitos localmente o subirlas a los servidores de Microsoft para mayor comodidad. Aunque esto permite a los usuarios recuperar el acceso a sus datos si olvidan su contraseña o activan un bloqueo debido a intentos fallidos de inicio de sesión, también crea un vector potencial para el acceso por parte de las fuerzas del orden.

La documentación de Microsoft recomienda a los usuarios hacer una copia de seguridad de sus claves de recuperación en su cuenta de Microsoft, una práctica que permite a la empresa cumplir con solicitudes legales. La compañía no ha revelado si impugna dichas solicitudes ni bajo qué autoridades legales específicas el FBI u otras agencias obtienen estas claves.

Impacto y Preocupaciones sobre la Privacidad

La revelación plantea preocupaciones significativas sobre privacidad y seguridad para empresas y usuarios individuales que confían en BitLocker para la protección de datos. Aunque la práctica está legalmente sancionada, subraya las limitaciones del cifrado cuando las claves de recuperación se almacenan con terceros, incluyendo proveedores de servicios en la nube.

Expertos en seguridad señalan que este escenario destaca una tensión más amplia entre el acceso legal y la privacidad del usuario. Las organizaciones con estrictos requisitos de soberanía de datos o confidencialidad pueden necesitar reconsiderar sus estrategias de gestión de claves para mitigar el riesgo de acceso no autorizado a través de canales legales.

Recomendaciones para Equipos de Seguridad

Los profesionales de la seguridad son aconsejados a:

  • Revisar las políticas de almacenamiento de claves de BitLocker para garantizar que las claves de recuperación no se almacenen en cuentas de Microsoft a menos que sea necesario.
  • Implementar soluciones alternativas de custodia de claves para entornos empresariales, como Active Directory local o sistemas de gestión de claves de terceros.
  • Educar a los usuarios sobre las implicaciones de almacenar claves de recuperación en cuentas en la nube, especialmente para dispositivos que manejan datos sensibles o regulados.
  • Monitorear los desarrollos legales relacionados con el cifrado y el acceso legal, ya que estos pueden impactar las estrategias futuras de cumplimiento y seguridad.

Microsoft no ha comentado si notifica a los usuarios cuando sus claves de recuperación son reveladas a las fuerzas del orden, una práctica que algunas empresas de tecnología siguen para mejorar la transparencia.

Compartir

TwitterLinkedIn