Cómo funciona el cifrado Class 0 en los discos SSD

El cifrado o encriptación de tipo Class 0, es por lo general una manera de referirse a un tipo de cifrado basado en hardware y directamente dependiente de compatibilidad con el BIOS del ordenador. Es decir, es un sistema de seguridad para cifrado de los contenidos (por lo general en discos SSD tipo SED o self-encrypting drive por sus siglas en inglés) incorporado y activado al configurar una contraseña para la unidad desde los parámetros del BIOS. 

Si bien, los discos con el sistema SED (unidad con auto-cifrado) cifran los contenidos del disco en todo momento,  utilizando un chip integrado que evita el uso de recursos del CPU para tal fin, si no se define una contraseña o llave de cifrado desde el BIOS esta función tiene muy poca utilidad ya que en el caso de robo, pérdida o cualquier otra situación donde se pierda el control físico sobre el dispositivo, cualquier persona podría ver los contenidos del mismo. En otras palabras, sería como guardar documentos importantes en una caja fuerte y dejarla abierta. 

Class 0 es una de las opciones de cifrado disponibles en los dispositivos Samsung y se activa automáticamente en los sistemas compatibles con la tecnología y en el momento en el que el usuario defina una contraseña para el disco. Una vez definida la contraseña, la unidad quedará protegida sin necesidad de hacer nada más.

No existe un lento proceso de encripción de los datos debido a que el cifrado es permanente (24 horas al día, 7 días a la semana desde que fue empezado a usar) e independiente de los recursos del ordenador (CPU, RAM), debido a que se trata de un SED. Lo único que se hizo fue definir la llave de acceso o, utilizando el ejemplo anterior, equivale a definir la contraseña de la caja fuerte y cerrarla. Si al iniciar el sistema, el BIOS solicita la contraseña de acceso para continuar con la carga del sistema, esto quiere decir que el disco está protegido. 

Cada fabricante implementa el estándar de cifrado de su preferencia, algunos son más seguros que otros. En el caso de Samsung, suelen implementar el estándar AES a 256-bit que ofrece un buen nivel de seguridad y en la actualidad es un cifrado básicamente imposible de romper por lo que en la teoría, los datos dentro de la unidad estarán seguros siempre y cuanto el usuario defina una contraseña siguiendo buenas prácticas. En otras palabras, en la actualidad, la única forma de acceder a los datos sería por medio de un ataque a fuerza bruta (útil solo en el caso de contraseñas débiles) o en casos específicos por medio de una técnica que explicaré más adelante. 

Existen otros tipos de cifrado como Class 2 (CSM o compatibilidad con el modo Legacy BIOS) y Class 3 (compatible con UEFI). Ambos ofrecen seguridad superior al usuario sin embargo esto no quiere decir que Class 0 no sea de ninguna utilidad. 

Pero ¿están 100% seguros los datos utilizando este método de cifrado? No del todo. En el caso de pérdida o robo, si el adversario o delincuente no tiene o tiene conocimientos en computación e informática limitados y quisiera acceder a los datos dentro del disco en estado sólido se le hará imposible sin la contraseña de acceso.  Si un adversario, un técnico de reparación de ordenadores u otro tipo de perfil con conocimientos medios de computación está realmente interesado en acceder a los datos dentro del disco, en algunos casos y de acuerdo a la implementación de cada fabricante podría hacerlo. Solo necesita un sistema con compatibilidad con Class 0 similar al sistema original en el cuál goce de acceso administrativo al BIOS y así cambiar directamente la contraseña de acceso al disco. Esto es posible en una variedad limitada de situaciones y no aplica en la mayoría de los casos. 

En resumen, si bien es un sistema básico de protección de datos por lo general en ordenadores portátiles que pueden ser perdidos o robados o accedidos más fácilmente por terceros, no es infalible y bajo ninguna circunstancia se puede dar por un hecho que los datos privados contenidos en él están 100% seguros contra cualquier atacante. A pesar de esto, es un buen sistema en contra la mayoría de posibles adversarios comunes que tengan el interés de obtener acceso a la información del disco. Es una capa de defensa limitada no infalible pero muy útil al enviar el ordenador a mantenimiento o servicio técnico y ofrecer un nivel básico de protección a los datos contenidos. Especialmente cuando se han dado caso de robo de datos privados para posteriormente extorsionar a la víctima para el pago de cierta cantidad a cambio de la no divulgación de los mismos. Este tipo de extorsión también se puede dar en el caso de robos e incluso se ha dado la publicación material de índole privado sustraído de un ordenador robado sin intimidación o amenazas de por medio. 

Si la seguridad de la información contenida en un disco es fundamental y de gran relevancia lo más recomendado sería que además de un cifrado basado en hardware (cómo es el caso de este artículo) sea implementado un método de encripción basada en software como es el caso de VeraCrypt de código abierto o BitLocker desarrollado por Microsoft.