En un mundo donde la información personalno es tan personal, cuentas bancarias enteras están vinculadas a nuestros teléfonos inteligentes y la vigilancia y el cibercrimen están en su nivel más alto, la seguridad es uno de los aspectos mayoritarios de la esfera tecnológica.

Los bloqueos de pantalla sencillos en forma de PIN y patrones existen desde hace mucho tiempo, pero solo recientemente, con el lanzamiento de Android Honeycomb, apareció en Android el cifrado de disco completo. El cifrado y descifrado de datos de usuario sobre la marcha, es decir, durante las operaciones de lectura y escritura, mejoró considerablemente la seguridad del dispositivo, basándose en una clave maestra del dispositivo.

Antes de Android Lollipop, la clave maestra antes mencionada se basaba únicamente en la contraseña del usuario, lo que la dejaba expuesta a una serie de vulnerabilidades a través de herramientas externas como ADB. Sin embargo, Lollipop realiza un cifrado de disco completo a nivel de kernel, utilizando una clave AES de 128 bits generada en el primer arranque, que funciona en conjunto con la autenticación respaldada por hardware como TrustZone, lo que lo libera de la vulnerabilidad ADB.

Cifrado de hardware vs. cifrado de software

cifrado003

El cifrado de disco se puede realizar en dos niveles diferentes, es decir, a nivel de software o a nivel de hardware. El cifrado de software utiliza la CPU para cifrar y descifrar datos, ya sea utilizando una clave aleatoria desbloqueada por la contraseña del usuario o utilizando la propia contraseña para autenticar las operaciones. Por otro lado, el cifrado de hardware utiliza un módulo de procesamiento dedicado para generar la clave de cifrado, lo que descarga la carga de la CPU y mantiene las claves críticas y los parámetros de seguridad más seguros de ataques de fuerza bruta y arranque en frío.

A pesar de que los nuevos SoCs de Qualcomm admiten el cifrado de hardware, Google optó por el cifrado basado en CPU en Android, que fuerza el cifrado y descifrado de datos durante la E/S del disco, lo que ocupa una serie de ciclos de CPU, con lo que el rendimiento del dispositivo se ve seriamente afectado como resultado. Con la exigencia de cifrado de disco completo de Lollipop, el Nexus 6 fue el primer dispositivo en soportar la peor parte de este tipo de cifrado. Poco después de su lanzamiento, numerosos puntos de referencia mostraron resultados de un Nexus 6 normal frente a un Nexus 6 con el cifrado desactivado utilizando imágenes de arranque modificadas, ylos resultados no fueron muy buenos, mostrando que el dispositivo cifrado era mucho más lento que el otro. En marcado contraste, los dispositivos de Apple han admitido el cifrado de hardware desde el iPhone 3GS, y el iPhone 5S pasó a admitir la aceleración de hardware para el cifrado AES y SHA1 respaldado por su chipset A7 armv8 de 64 bits.

El cifrado y la línea Nexus

cifrado003

El año pasado, el Nexus 6 de Motorola fue el primer dispositivo Nexus que impuso a los usuarios el cifrado de software, y el impacto que tuvo en las operaciones de lectura y escritura de almacenamiento (que las hacía extremadamente lentas) fue ampliamente criticado. Sin embargo, en una sesión de preguntas y respuestas en Reddit poco después del lanzamiento del Nexus 5X y el Nexus 6P, el vicepresidente de ingeniería de Google, Dave Burke, afirmó que esta vez también el cifrado se basaba en software, citando los SoC armv8 de 64 bits y prometiendo resultados más rápidos que el cifrado de hardware. Desafortunadamente, unarevisión de AnandTechmostró que, a pesar de una mejora significativa con respecto al Nexus 6, el Nexus 5X obtuvo un rendimiento un 30% inferior al del LG G4 en una comparación directa, a pesar de una hoja de especificaciones similar y el uso de eMMC 5.0 en ambos dispositivos.

Impacto en la experiencia del usuario

A pesar de que el Nexus 6 y, aparentemente, el Nexus 5X sufren problemas de E/S de disco debido al cifrado, las optimizaciones de software en Lollipop compensaron el rendimiento, lo que hizo que el Nexus 6 con Lollipop con cifrado de disco completo fuera posiblemente más rápido que un Nexus 6 teórico con KitKat. Sin embargo, los usuarios finales con un ojo de águila pueden notar ocasionalmente un ligero tartamudeo al abrir aplicaciones que consumen mucho disco, como la galería, o al transmitir contenido local 2K o 4K. Por otro lado, el cifrado asegura significativamente sus datos personales y lo protege de programas como la vigilancia del gobierno, siendo el ligero tartamudeo la única desventaja, por lo que si es algo con lo que puede vivir, el cifrado es definitivamente el camino a seguir.

OEM y cifrado

cifrado003

A pesar de que el cifrado de dispositivos es un mecanismo sumamente benévolo para los usuarios finales, algunos fabricantes de equipos originales lo ven esporádicamente de una manera poco favorable, siendo el más notorio Samsung. El reloj inteligente Gear S2 del fabricante surcoreano y su solución de pagos móviles, Samsung Pay, son incompatibles con los dispositivos Samsung cifrados... el primero se niega a funcionary elsegundo no permite a los usuarios añadir tarjetas, informando a los usuarios de que es necesario descifrar completamente el dispositivo para que funcionen. Dado que el cifrado aumenta la seguridad del dispositivo, impedir que los usuarios añadan tarjetas es una medida aparentemente extraña, ya que la seguridad es un factor decisivo en la adopción de soluciones de pago móvil.

¿Es realmente necesario?

Para la mayoría de los usuarios, especialmente el grupo que excluye a los usuarios avanzados, el cifrado es algo con lo que no es probable que se topen por casualidad, y mucho menos que lo habilitenvoluntariamente. FDE ciertamente protege los datos del dispositivo y los protege de los programas de vigilancia, aunque con una pequeña desventaja en el rendimiento. Si bien Android Device Manager hace un trabajo decente al borrar datos en dispositivos que han caído en las manos equivocadas, el cifrado lleva la barrera de seguridad un paso más allá, por lo que si está dispuesto a asumir el compromiso de rendimiento, FDE sin duda mantiene sus datos fuera de las manos equivocadas.

¿Qué opinas sobre el cifrado de dispositivos? ¿Crees que Google debería optar por el cifrado de hardware? ¿Tienes el cifrado activado y, de ser así, tienes problemas de rendimiento? ¡Comparte tu opinión en la sección de comentarios a continuación!