Consideraciones sobre seguridad de BitLocker

Dado que la seguridad es un proceso de administración de riesgos, es importante tener en cuenta que BitLocker no puede proteger un equipo de todos los posibles ataques. Por ejemplo, si un usuario malintencionado o programas como virus o rootkits obtienen acceso al equipo antes de que se pierda o se sustraiga, es posible que logren introducir puntos débiles mediante los que podrían tener acceso a los datos cifrados más adelante. La protección de BitLocker también puede verse comprometida si la clave de inicio USB se deja en el equipo, o si el NIP o la contraseña de inicio de sesión de Windows no se mantienen en secreto.

El modo de autenticación con sólo TPM (es decir, sin clave de inicio ni NIP) constituye la experiencia del usuario más transparente para aquellas organizaciones que necesitan un nivel de línea de base de protección de datos para cumplir las directivas de seguridad. El modo con sólo TPM es el más fácil de implementar, administrar y usar. Asimismo, es posible que sea más adecuado para equipos desatendidos o que deben reiniciarse mientras están desatendidos.

Sin embargo, el modo con sólo TPM ofrece la menor protección de datos. Este modo protege ante algunos ataques que modifican los componentes de arranque iniciales, pero el nivel de protección puede verse afectado por puntos débiles de seguridad del sistema operativo, el hardware o el BIOS. Agregar un NIP o una clave de inicio USB puede ayudar a mitigar muchos de estos ataques. Si hay partes en su organización que almacenan información confidencial en equipos portátiles, considere la posibilidad de implementar BitLocker con autenticación multifactor en estos equipos.