Borrado seguro de SSD internos utilizando File Vault

Describas bien el borrado criptográfico.

Rotar la clave de encriptación asegura que los datos escritos con esa clave sean irrecuperables. Podrías ir un paso más allá escribiendo datos legítimos y no personales para llenar el disco una vez que lo encriptes. Tal vez una selección de videos de YouTube descargados para que todos los sectores direccionables tengan datos sobrescritos si no puedes estar seguro de que FileVault estaba activado cuando se escribieron los datos que esperas que sean irrecoverables.

1. Haz una instalación de borrado: activa FileVault con una contraseña segura, compleja y desechable (como tres palabras largas)
2. Copia archivos reales para llenar el disco
3. Repite la instalación de borrado y no configures la nueva Mac

Nada puede volver y reencriptar bloques libres en el almacenamiento (la parte del almacenamiento no direccionable), pero estos pasos aseguran que cualquier recuperación de archivos posterior devuelva tus archivos de prueba reales y no los datos del propietario anterior si no encriptaron la máquina antes de copiar datos en ella. Solo los borrados de unidad específicos del fabricante o la destrucción física pueden cubrir que el almacenamiento no direccionable sea puesto de nuevo en servicio.

Para "hacer esto bien", querrás asegurarte de permitir que las Macs de la era no-T2 completen la encriptación de FileVault después de copiar datos y antes del segundo borrado para asegurar que todos los bloques sean reescritos. Además, deberás realizar un seguimiento de la versión de macOS utilizada para asegurarte de que tus esfuerzos sean los mejores posibles para cada era de hardware.

No, es "casi" correcto, pero no del todo verdadero.

La idea detrás de lo que aquí se llama "borrado criptográfico" es que cifras el SSD antes de usarlo en absoluto. La clave para el cifrado no se almacena en la unidad en sí, sino en otro lugar que permita un borrado seguro (en un Mac, esto suele estar en un chip T1, T2 o M1, pero en Macs más antiguos depende de que el usuario tenga una frase de paso que no sea fácil de vulnerar). Después de haber usado tu computadora y llenado la unidad con datos personales, puedes borrar todo de manera efectiva de forma segura desechando solo la clave.

Sin embargo, esto solo funciona de manera óptima para los datos almacenados después de que la unidad esté cifrada.

Lo que sucede en tu escenario es que tienes un SSD lleno de datos potencialmente personales que no están cifrados. Luego cifras la unidad, sobrescribiendo todos los datos direccionables con datos básicamente aleatorios (que realmente son solo "nada" cifrada) - y luego olvidas la clave de cifrado usada, haciendo que esas "nadas" sean ilegibles.

Puedes pensar que esto es lo mismo que sobrescribir un disco duro tradicional con datos aleatorios, pero no lo es.

La razón es que los SSD tienen almacenamiento que no es accesible por el sistema operativo. El controlador del SSD intercambia continuamente bloques que son direccionables, lo que significa que algunos datos personales podrían haber sido almacenados en bloques que ya no son accesibles, y por lo tanto no se pueden borrar sobrescribiendo desde el sistema operativo.

Si hubieras cifrado el disco antes de usarlo y hubieras hecho un "borrado criptográfico" borrando la clave, esto habría funcionado bien, ya que incluso los datos no direccionables no serían desencriptables ya que la clave se ha ido. Sin embargo, en tu escenario los datos no direccionables siguen estando ahí.

Es importante tener en cuenta que no es fácil para otros acceder realmente a esos datos personales no direccionables. Es sumamente improbable que si se lo regalas por ejemplo a un usuario promedio que reinstale macOS y use la computadora de manera normal, llegue a ver esos datos antiguos. Sin embargo, las cosas cambian si la computadora es regalada a un profesional de la informática o alguien dispuesto a invertir recursos en recuperar los datos antiguos.

Por eso los SSD modernos vienen con un comando especial para esta situación en particular. Este comando a menudo se conoce como "Borrado seguro" o en SSD más nuevos como "Borrado seguro mejorado". Debes tener en cuenta que este comando en particular ha demostrado estar muy mal implementado en muchos SSD de consumidores, por lo que realmente necesitas verificar que sea una buena implementación antes de confiar en él.

En tu escenario probablemente solo estés tratando con SSDs vendidos por Apple (aunque podrías ver computadoras que hayan sido actualizadas por terceros). Si esto hubiera sido una empresa local que busca cumplir con leyes como el GDPR europeo, estos SSD anteriores a 2016 habrían sido evaluados como no tener métodos de Borrado seguro o no funcionales, y por lo tanto habrían sido destruidos físicamente y reemplazados por nuevas unidades antes de reutilizar la computadora. Esto no es un desperdicio terrible, ya que un SSD de más de 7 años probablemente esté cerca del final de su vida útil de todos modos.

Sin embargo, entiendo que en un escenario de donación, reemplazar discos no es posible. Recomendaría que le hagas saber a los donantes que haces intentos razonables para borrar sus datos personales sobrescribiéndolos (por ejemplo, en 5 pasadas), dejando claro que no es una garantía del 100% de borrado de datos. Así todos pueden tomar una decisión informada.