Cómo recuperar datos de un volumen de APFS cifrado de Apple

Apple establece un estándar alto de protección de datos de los usuarios por medio de la integración de una variedad de funciones de seguridad en todos los dispositivos dentro de su ecosistema. En el centro de esta protección se encuentra el cifrado, la principal defensa contra el acceso no autorizado y una parte integral del sistema de archivos APFS moderno. El cifrado de APFS es muy eficaz para proteger información de los intrusos, pero, por otro lado, puede presentar desafíos para los usuarios autorizados. Cuando se produce una pérdida de datos de un volumen de APFS cifrado, ya sea debido a un error humano, corte de luz u otros problemas, la recuperación de datos sólo es posible bajo las condiciones que dejen realizar el descifrado del almacenamiento. Afortunadamente, en la mayoría de los casos, los archivos que se perdieron de un volumen de APFS cifrado, ya se encuentre en una unidad interna o en un dispositivo externo, se pueden restaurar, si se dispone de la contraseña o la clave de recuperación correctas y se utiliza el software adecuado. Esta guía demuestra cómo descifrar de forma segura un almacenamiento en APFS y rescatar los datos perdidos de él con diferentes ediciones de UFS Explorer.

Aspectos generales del cifrado de APFS

A diferencia de HFS+, el sistema de archivos APFS de Apple (empleado en macOS 10.13 High Sierra y versiones posteriores) está provisto de la compatibilidad nativa con el cifrado. Esto lo hace capaz de proteger los datos críticos del usuario a nivel del sistema de archivos, sin que se use una capa adicional de abstracción proporcionada por Core Storage. Mientras tanto, cada volumen dentro de un contenedor de APFS se trata como una entidad independiente por el motor de cifrado lo que le permite tener sus propios ajustes de cifrado.

El usuario puede habilitar el cifrado de APFS en la unidad de arranque de su Mac durante la configuración inicial del sistema o más tarde a través de la función FileVault de macOS. Los volúmenes, excepto los reservados para el sistema, se pueden formatear aplicando el sistema de ficheros APFS cifrado desde el principio o cifrarse después a través del Finder. También se puede activar el cifrado de APFS en cualquier medio digital externo, incluidas las unidades externas y memorias USB.

El cifrado se basa en el algoritmo AES (Advanced Encryption Standard o Estándar de Cifrado Avanzado) con una longitud de clave de 128 bits o 256 bits. Si bien el estándar subyacente sigue siendo el mismo en todos los dispositivos, la forma de su aplicación puede diferir significativamente según las capacidades del hardware de una computadora Mac. En algunos Mac, se maneja únicamente por el software, mientras que en otros, el cifrado de las unidades internas está respaldado por el hardware. En este sentido, el cifrado de APFS se puede clasificar en dos tipos: cifrado por software y cifrado basado en hardware.

Cifrado de APFS basado en hardware

En los dispositivos más nuevos de Apple que están equipados con el chip de seguridad T2 de Apple o con un procesador Apple Silicon se emplea el cifrado basado en hardware. En este caso, los procesos de cifrado y descifrado de la unidad interna son manejados por el propio chip. Las claves de cifrado se almacenan en una parte aislada del chip llamada Secure Enclave. Las técnicas de seguridad avanzadas permiten que macOS interactúe con dicho componente para llevar a cabo las operaciones de descifrado, pero el acceso directo a las claves de cifrado sin procesar está completamente bloqueado. En la actualidad, no se conocen ningunos métodos para extraer o transferir estas claves específicas del hardware. Permanecen inaccesibles fuera de Secure Enclave, incluso para cualquier aplicación de recuperación de datos. Y dado que las claves de cifrado están vinculadas directamente al hardware en particular, un disco interno cifrado no se puede extraer de una computadora Mac para acceder a él desde otra.

Cifrado por software

Este método se puede aplicar en todos los dispositivos externos de Apple, así como en las computadoras Mac más antiguas que carecen del soporte dedicado del cifrado de hardware. En este caso, el cifrado de APFS depende completamente de las credenciales proporcionadas por el usuario y puede basarse en:

  • Contraseña de usuario: el método principal que se usa para desbloquear un volumen cifrado. El usuario establece esta contraseña al habilitar el cifrado y la ingresa cada vez que inicia sesión en la cuenta de usuario de Mac o accede a un dispositivo externo cifrado.

  • Clave de recuperación: una cadena de 24 caracteres alfanuméricos generados automáticamente por macOS como respaldo para acceder a la unidad de arranque cifrada, si la contraseña de usuario no está disponible.

  • Cuenta de iCloud: se trata de la cuenta de usuario que está vinculada a la computadora Mac en cuestión y almacena de forma segura la información de la clave de recuperación, mientras que la propia clave nunca se muestra al usuario. Esta opción se puede seleccionar al cifrar la unidad reservada para el sistema de una computadora Mac. Iniciar sesión en la cuenta de iCloud desbloquea el almacenamiento cifrado de forma similar al uso de una clave de recuperación.

  • Clave de recuperación institucional: esta es una clave de recuperación especial que se usa solamente en entornos organizacionales. Se crea antes de que se active el cifrado en el dispositivo y permite al administrador acceder a él sin tener la contraseña personal o la clave de recuperación del usuario.

Por lo tanto, un volumen de APFS se puede descifrar utilizando la contraseña de usuario correcta o una de las claves de recuperación y no se requiere usar ningún hardware adicional. Sin embargo, los detalles que se necesitan para realizar el descifrado se almacenan como texto cifrado dentro de los metadatos de APFS. Si las áreas críticas del almacenamiento se dañan como resultado de una corrupción lógica o un defecto físico, es posible que ya no sea posible verificar las credenciales que se ingresan y hacer que los datos vuelvan a ser legibles, incluso si la contraseña o la clave de recuperación son correctas.

La forma más sencilla de descifrar un almacenamiento es ingresar la contraseña de usuario cuando UFS Explorer lo solicita. Si no tiene la contraseña correcta, la única alternativa es usar la clave de recuperación, en caso de que se haya creado durante la configuración inicial del cifrado en la unidad de arranque interna de su Mac. Según sus preferencias, los usuarios pueden optar por:

  • Copiar la clave y guardarla en un documento seguro, un gestor de contraseñas, la nube o cualquier otro dispositivo de almacenamiento de datos.

  • Imprimir la clave y guardarla como un documento físico.

Si se han perdido tanto la contraseña como la clave de recuperación y no hay copias de seguridad disponibles, es imposible descifrar los datos. Como resultado, el volumen de APFS cifrado se vuelve permanentemente inaccesible.

Recuperación desde APFS cifrado utilizando una contraseña o clave de recuperación

UFS Explorer es una solución fiable para recuperar datos de los volúmenes de APFS protegidos con el cifrado por software. El producto está disponible en cuatro ediciones distintas: StandardRAIDNetwork RAID y Professional, todas las cuales son compatibles con la tecnología de cifrado de APFS. Los programas son flexibles ya que permiten descifrar almacenamientos utilizando cualquiera de los dos métodos soportados por APFS: con una contraseña o con una clave de recuperación.

Si bien el proceso principal de descifrado y recuperación de datos es el mismo en todas las ediciones y para todos los métodos de descifrado, los pasos específicos a tomar pueden variar levemente según la edición del software que se utiliza.

En UFS Explorer de las ediciones Standard, RAID o Network RAID

  1. Conecte su dispositivo de Apple con APFS cifrado a la computadora.

Conecte el disco duro portátil cifrado a su Mac. Si se trata de un almacenamiento interno, debe extraerlo de la computadora y conectarlo a otra PC como unidad secundaria o arrancar su Mac en un entorno seguro con la ayuda de UFS Explorer Backup and Emergency Recovery CD. Por otro lado, incluso puede utilizar la misma Mac, pero en este caso debe deshabilitar la Protección de integridad del sistema, siguiendo las instrucciones del artículo Desbloqueo del acceso a las unidades de macOS. Aún así, la segunda opción no es recomendable debido a que es muy probable que resulte en la sobrescritura de datos.

Sugerencia: Consulte las instrucciones de cómo conectar un disco a la placa base o conectar externamente una unidad mediante un adaptador USB a SATA.

  1. Instale e inicie UFS Explorer Standard Recovery, UFS Explorer RAID Recovery o UFS Explorer Network RAID.

Abra el software con privilegios elevados al ingresar el nombre de usuario y la contraseña correctos. El programa mostrará una lista de todas las unidades conectadas en el panel izquierdo. Los volúmenes lógicos de cada dispositivo físico serán enumerados justo debajo de él.

Sugerencia: Si tiene alguna dificultad con la instalación de la utilidad, por favor, consulte el manual de instalación de la edición correspondiente de UFS Explorer.

  1. Encuentre el volumen de APFS cifrado entre los disponibles.

Examine la lista en busca de una partición APFS que se puede identificar por el icono de candado amarillo.

Sugerencia: Si necesita más información sobre cómo se etiquetan diferentes unidades y volúmenes en la interfaz de UFS Explorer, por favor, consulte el artículo Identificación de diferentes almacenamientos y tecnologías.

  1. Descifre el almacenamiento para desbloquear su contenido.

Aunque el sistema de archivos puede etiquetarse como accesible, no se puede recuperar sus datos hasta que se descifre. Para ello, abra el menú contextual del volumen cifrado y seleccione la opción "Descifrar volumen APFS cifrado". En el cuadro de diálogo abierto, escriba la contraseña de usuario o pegue la clave de recuperación en el campo correspondiente.

  1. Realice el escaneo del volumen descifrado para encontrar archivos borrados o perdidos.

Tras el descifrado exitoso, el volumen se desbloqueará y se podrá acceder a su contenido directamente en el programa. También podrá lanzar la búsqueda de archivos que se perdieron o eliminaron al escanear el almacenamiento. Haga clic en la herramienta "Escanear este almacenamiento" de la barra superior, anule la selección de todos los sistemas de archivos, excepto APFS, y pulse el botón "Iniciar escaneo".

Sugerencia: Encuentre más información sobre cómo configurar el escaneo en el tutorial correspondiente.

  1. Seleccione los ficheros necesarios y guárdelos en otra ubicación.

Después de realizar el escaneo, explore el sistema de archivos reconstruido por la aplicación y busque las carpetas y archivos necesarios. Luego, haga clic en "Definir selección", marque las casillas de verificación junto a los elementos necesarios del sistema de ficheros y pulse el botón "Guardar selección". Ahora especifique un almacenamiento de destino seguro al que se deben copiar.

Sugerencia: La información disponible en el artículo Evaluar y guardar los resultados de la recuperación de datos puede facilitar su trabajo con las carpetas y archivos obtenidos.

Sugerencia: Si planea guardar sus datos recuperados en un almacenamiento de red, por favor, consulte el tutorial correspondiente.

En UFS Explorer Professional Recovery

  1. Conecte su dispositivo de Apple con el sistema de archivos APFS cifrado a la computadora.

Adjunte la unidad externa cifrada a su Mac. Si se trata del disco del sistema, para acceder a él, debe extraerlo de la computadora y conectarlo a otra computadora como almacenamiento secundario o iniciar su Mac en un entorno seguro usando UFS Explorer Backup and Emergency Recovery CD. También es posible utilizar la misma Mac si deshabilita la Protección de integridad del sistema como se describe en el artículo Desbloqueo del acceso a las unidades de macOS, pero esta opción no se recomienda en vista del alto riesgo de sobrescritura de datos.

Sugerencia: Consulte las instrucciones de cómo conectar un disco a la placa base o conectar externamente una unidad mediante un adaptador USB a SATA.

  1. Instale y abra UFS Explorer Professional Recovery.

Inicie el programa con privilegios de administrador al ingresar el nombre de usuario y la contraseña correctos en la ventana emergente. La aplicación mostrará todas las unidades adjuntas en el panel izquierdo. Cada dispositivo físico se presentará con sus volúmenes lógicos enumerados justo debajo de él.

Sugerencia: Si tiene alguna dificultad con la instalación de la utilidad, por favor, consulte el manual de instalación de UFS Explorer Professional Recovery.

  1. Seleccione el volumen de APFS cifrado de la lista de almacenamientos.

Examine la lista en busca de la partición de APFS cifrado. Esta se puede reconocer por el icono de candado amarillo a su lado.

Sugerencia: Si necesita más información sobre cómo se etiquetan diferentes unidades y volúmenes en la interfaz de UFS Explorer, por favor, consulte el artículo Identificación de diferentes almacenamientos y tecnologías.

  1. Utilice la herramienta de descifrado proporcionada por el software para desbloquear los datos.

Aunque la partición puede estar marcada como accesible, los datos que contiene no se pueden leer hasta que se descifren. Abra el menú contextual del volumen, seleccione la opción "Descifrar almacenamiento cifrado" y luego haga clic en "Descifrado de volumen APFS". Ingrese la contraseña de usuario correcta o copie y pegue la clave de recuperación con todos los guiones incluidos en el campo correspondiente.

  1. Escanee el almacenamiento descifrado para recuperar sus archivos borrados o perdidos.

Una vez hecho el descifrado, los archivos se volverán accesibles en la interfaz del software. Y los ficheros eliminados o perdidos se podrán encontrar al escanear el almacenamiento. Para lanzar el escaneo, haga clic en la herramienta respectiva de la barra superior, anule la selección de todos los sistemas de archivos excepto APFS y pulse el botón "Iniciar escaneo".

Sugerencia: Encuentre más información sobre cómo configurar el escaneo en el tutorial correspondiente.

  1. Seleccione los elementos recuperados necesarios y cópielos a otro disco.

Una vez finalizado el escaneo, puede navegar por el sistema de archivos restaurado por el programa para encontrar los datos a guardar. Para seleccionar los elementos necesarios, haga clic en "Definir selección", márquelos y haga clic en "Guardar selección". Luego, elija una carpeta de destino segura para los elementos seleccionados.

Sugerencia: La información disponible en el artículo Evaluar y guardar los resultados de la recuperación de datos puede facilitar su trabajo con las carpetas y archivos obtenidos.

Sugerencia: Si planea guardar sus datos recuperados en un almacenamiento de red, por favor, consulte el tutorial correspondiente.

Videoguía de recuperación desde APFS cifrado

El procedimiento completo también se muestra en el siguiente vídeo:

Ver en YouTube

Última actualización: el 17 de diciembre de 2024