En este artículo, discutiremos 2 casos en los que se pueden recuperar datos de un disco encriptado con BitLocker.
Que es Bitlocker?
BitLocker es una herramienta de encriptación de disco completo (Full disk encryption), incorporada en los sistemas operativos Windows que ayuda a proteger los datos almacenados en el disco duro.
Utiliza una clave de cifrado para proteger los datos y, sin esta clave, no se puede acceder a los datos encriptados.
Sin embargo, en algunos casos, si el disco se daña o se bloquea, aún puede ser posible recuperar la información.
Los escenarios que vamos a analizar son 2:
1.- Disco duro encriptado con Bitlocker, que no es accesible por daño de sectores (error 23, formato RAW, error de redundancia cíclica, etc.) y el usuario tiene la clave o es posible conseguirla.
2.- Disco duro que de pronto pide clave de recuperación de Bitlocker. El usuario refiere que no encriptó el disco o no sabía que estaba encriptado, por lo que no tiene la clave.
Antes de empezar
En general, es más difícil recuperar datos de un disco encriptado con BitLocker que de un disco sin encriptación.
No hay programas para «romper la protección», adivinar contraseñas, ni para reconstruir o recuperar archivos desde dispositivos encriptados.
Tampoco hay ninguna «puerta trasera», no hay otras soluciones alternativas (como formatear el disco o reinstalar el sistema operativo), y el soporte técnico de Microsoft no puede proporcionar la clave que falta o crear una nueva.
No tiene ningún sentido aplicar programas de recuperación a un disco encriptado, pues no es posible detectar partes de archivos o patrones de información que nos permitan reconstruir datos utilizables, y por otro lado, el uso intensivo de programas en un disco dañado puede degradarlo y destruirlo.
Formatear destruye los metadatos necesarios para el desencriptado, lo mismo que la sobrescritura. Por eso es vital proteger el disco original antes de trabajar con el.
Si el dispositivo pide la clave de recuperación de BitLocker, deberemos introducirla de algún modo para desbloquear los datos.
Si el disco está severamente dañado o si la clave de cifrado se ha perdido y no se ha guardado una copia de seguridad, es posible que no se puedan recuperar los datos.
Si el disco no es accesible, es importante no intentar repararlo sin la ayuda de un profesional para evitar dañar los datos.
Proceso de recuperacion
El proceso de recuperación es básicamente el mismo que hemos mencionado en otras ocasiones, aunque puede tener variaciones según el caso particular:
1.- Protección del dispositivo.
2.- Diagnóstico de la falla y cotización.
3.- Reparación de emergencia.
4.- Clonado.
4.5 – Desencriptado o desinstalación de Bitlocker.
5.- Recuperacion de datos.
6.- Verificación y corrección de errores
7.- Emisión de listado de archivos recuperables y reporte de su estado actual.
Si el disco no es diagnosticado correctamente, tiene daño físico y se intenta la recuperacion directa con software, puede destruirse sin remedio.
Que hacer si no tengo la clave de recuperacion o password
Bitlocker se puede desencriptar con el recovery password o con su recovery key.
El password es el que hayamos elegido al instalar Bitlocker, y el recovery key es el numero de 48 dígitos que puede generar el administrador del sistema (en caso de haberlo).
Si no se tiene la clave, hay que tratar de obtenerla por estos medios:
1.- Si se ha guardado una copia de seguridad de la clave de cifrado de BitLocker en un lugar seguro.
Dónde buscar la clave de recuperación de BitLocker
2.- En una cuenta de Azure Active Directory: Si el dispositivo hubiera iniciado sesión en una organización con una cuenta de correo electrónico profesional o educativa, es posible que la clave de recuperación se almacene en la cuenta de Azure AD asociada con el dispositivo.
Es posible que puedas acceder a ella directamente o que tengas que ponerte en contacto con el administrador del sistema para obtener acceso a la clave de recuperación.
3.- En custodia del administrador del sistema: Si el dispositivo está conectado a un dominio (normalmente si se trata de un dispositivo profesional o educativo), pídele tu clave de recuperación a un administrador del sistema.
La recuperación de datos puede ser posible pero depende de la disponibilidad de la clave de cifrado o la clave de recuperación y la gravedad del daño del disco.
Caso 1.- Disco encriptado con daño de sectores
En caso de tener un disco encriptado con Bitlocker es necesario proteger el disco original, diagnosticar la falla, repararla, clonarlo y desencriptarlo (de ser posible), antes de aplicar programas de recuperación.
Para esto es necesario aplicar el password o clave de recuperación al clon del disco, y siempre que sea posible hay que evitar trabajar directamente con el original (que se puede degradar con el uso).
Caso 2.- Disco que pide repentinamente la clave de Bitlocker.
El TPM (Trusted Platform Module) es un chip en el dispositivo que es el responsable de llevar a cabo las funciones criptográficas, como generar, guardar y limitar el uso de claves en el dispositivo.
Cuando el equipo es encendido, TPM verifica que el sistema operativo, el firmware y las comunicaciones sean correctas.
Cuando TPM y Bitlocker están trabajando juntos correctamente, forman una capa de seguridad transparente, por lo que la mayor parte del tiempo, el usuario final no tiene que preocuparse por estos aspectos defensivos para los datos.
Este problema puede surgir si se cambia la configuración del TPM, si se reemplaza el hardware del sistema, si se actualiza el firmware, o si se ha perdido o dañado la clave de recuperación de BitLocker.
Si el TPM no reconoce el sistema o si la clave de cifrado se ha perdido, se solicitará la contraseña de BitLocker para acceder a los datos encriptados.
Para solucionar este problema, es necesario desactivar el TPM en la configuración del sistema y proporcionar la contraseña de BitLocker para acceder a los datos encriptados.
Casi todos los fabricantes de laptops actuales incorporan chips TPM: Dell, HP, Acer, Asus, Toshiba, Lenovo, Samsung, etc.
Por ejemplo, en PCs y laptops Dell de las series Alienware, Inspiron, OptiPlex, Vostro, XPS, G Series, G Series, Alienware, Inspiron, Latitude, Vostro, XPS, Fixed Workstations, Mobile Workstations.
Dell proporciona alguna ayuda básica al respecto, que se puede consultar en el siguiente enlace:
BitLocker solicita una clave de recuperación y no puede localizar la clave
Sin embargo, ninguna de las soluciones descritas garantiza la recuperación de los datos.
Actualmente (abril 2023), nosotros contamos con el procedimiento para recuperar datos cifrados con este problema, siempre y cuando la plataforma TPM sea de la versión 1.2 y que los metadatos existan en el disco original.
Por otro lado, ya trabajamos en la investigación para la solución en la plataforma TPM 2.0.
Más información
Listado de errores relacionados con TPM (Microsoft, actualizable).
Otros errores conocidos de Bitlocker y TPM (Microsoft).
Conclusión
Es importante tener en cuenta que, en algunos casos, la recuperación de datos de un disco encriptado con BitLocker puede ser imposible.
Por ejemplo, si el disco ha sido dañado físicamente, si ha habido formateo o sobrescritura, o si se ha perdido la clave de recuperación y no se ha configurado correctamente la recuperación de contraseñas, es posible que los datos no puedan ser recuperados.
Por eso es muy importante proteger el disco de personas no competentes y enviarlo a diagnóstico con los especialistas en recuperación de datos en México.
- Plan general para el respaldo de datos de una empresa PYME - noviembre 13, 2024
- Video: Recuperacion de datos de memoria flash con VNR y Flash Extractor - septiembre 14, 2024
- Como identificar si un disco duro usa tecnología de aire o helio (helioseal) - septiembre 11, 2024
