BitLocker es una solución integrada de cifrado de disco completo de Windows para proteger tus datos en caso de que te roben el PC o el portátil, o que de otro modo acabe en manos de un tercero. Las noticias recientes de que Microsoft entrega de forma rutinaria claves de respaldo de BitLocker(ventana nueva) a las fuerzas del orden (como el FBI) han puesto el foco en si es seguro usar BitLocker (y su versión reducida, Cifrado del dispositivo).
- ¿Qué es BitLocker?
- BitLocker frente a Cifrado del dispositivo
- ¿Cómo funciona BitLocker?
- ¿Qué es una clave de recuperación de BitLocker?
- ¿Dónde se almacena la clave de recuperación?
- ¿Es seguro BitLocker?
- ¿Puede el FBI obtener mis datos?
- Soluciones de cifrado alternativas
- Reflexiones finales
¿Qué es BitLocker?
BitLocker es una función de cifrado de disco completo integrada en Microsoft Windows. Cifra toda la unidad del sistema para que tus datos críticos estén protegidos si tu dispositivo se pierde, es robado o se accede a él sin autorización.
El cifrado de disco completo significa que todos los archivos del disco están cifrados. No cifra archivos individuales, pero puedes usarlo (opcionalmente) para cifrar tus otras unidades (que no sean del sistema).
En sentido estricto, BitLocker solo está disponible en las ediciones Pro, Enterprise y Education de Windows. Sin embargo, Windows Home incluye Cifrado del dispositivo (activado por defecto en hardware compatible y cuando inicias sesión con una cuenta de Microsoft). Esto utiliza la misma tecnología que BitLocker, pero es mucho menos configurable.
BitLocker frente a Cifrado del dispositivo
Cifrado del dispositivo es una configuración simplificada y automática de BitLocker con menos opciones. Con BitLocker:
- Obtienes controles completos de BitLocker
- Puedes elegir cómo se protegen las claves (PIN, clave USB, etc.)
Con Cifrado del dispositivo:
- No puedes gestionar en detalle los ajustes de cifrado
- No puedes exigir un PIN de arranque
- La clave de recuperación se guarda automáticamente como copia de seguridad en tu cuenta de Microsoft
- Requiere un Módulo de Plataforma de Confianza (TPM) (véase más abajo)
- El cifrado puede activarse automáticamente cuando inicias sesión con una cuenta de Microsoft
¿Cómo funciona BitLocker?
Cuando tu PC con Windows está apagado o el disco está sin conexión por cualquier otro motivo, toda la unidad permanece cifrada. En la mayoría de los sistemas modernos de Windows, la clave de cifrado está protegida por un pequeño chip de seguridad de la placa base llamado Módulo de Plataforma de Confianza (TPM), que solo libera la clave si el sistema no ha sido manipulado. Esta protección basada en hardware es una de las principales razones por las que Microsoft exige compatibilidad con TPM 2.0 para Windows 11.
Cuando arrancas tu PC, el TPM realiza comprobaciones de integridad antes de que cargue Windows. Estas comprobaciones buscan señales de manipulación y también pueden activarse por cambios significativos en el hardware, el firmware o la configuración de arranque de tu dispositivo.
Si todo parece normal, el TPM libera automáticamente la clave de cifrado y BitLocker desbloquea la unidad, permitiendo que Windows arranque con normalidad. Este proceso ocurre en segundo plano, por lo que normalmente no lo notas.
Una diferencia importante entre BitLocker y Cifrado del dispositivo es la flexibilidad. Cifrado del dispositivo es una versión simplificada de BitLocker que requiere un TPM y funciona automáticamente, mientras que BitLocker también puede usarse sin TPM apoyándose en alternativas como una contraseña, un PIN o una clave de seguridad USB.
Si el TPM detecta un problema (o si no se cumplen tus medidas de seguridad alternativas), BitLocker te pedirá tu clave de recuperación. Sin la clave de recuperación, Windows no cargará y tus datos permanecerán cifrados de forma segura, impidiendo el acceso no autorizado.
¿Qué es una clave de recuperación de BitLocker?
Una clave de recuperación de BitLocker es una copia de seguridad numérica de 48 dígitos que te permite desbloquear tu unidad cifrada con BitLocker si no puedes acceder a ella mediante tu método habitual (contraseña, PIN, TPM, etc.).
¿Dónde se almacena la clave de recuperación?
Eso depende de tu edición de Windows y de tu configuración:
Windows Home (usando Cifrado del dispositivo):
La clave se guarda automáticamente en tu cuenta de Microsoft.
- Para encontrarla (en un dispositivo diferente si tu PC no arranca), ve a account.microsoft.com/devices/recoverykey(ventana nueva) e inicia sesión con tu nombre de usuario y contraseña de Microsoft.
Windows Pro y Enterprise (usando BitLocker completo)
Tú eliges dónde almacenarla:
- Cuenta de Microsoft (como se indica arriba)
- Unidad USB
- Archivo en otra unidad
- Copia impresa
- Active Directory (para entornos empresariales, permitiendo a las organizaciones gestionar de forma centralizada claves de recuperación y políticas de cifrado)
¿Es seguro BitLocker?
De qué te protege BitLocker
| Escenario de amenaza | ¿Te protege BitLocker? | Notas |
|---|---|---|
| Portátil perdido o robado (apagado) | Sí (protección fuerte) | El disco permanece cifrado; el atacante necesita la clave de recuperación o el PIN. |
| Dispositivo incautado por las autoridades (apagado) | Parcialmente | Criptografía sólida, pero si la clave de recuperación está almacenada en una cuenta de Microsoft, puede obtenerse mediante un proceso legal. |
| Portátil robado mientras estaba en suspensión o hibernación | En su mayor parte | Protegido, pero algunos ataques avanzados (por ejemplo, cold boot(ventana nueva) o DMA(ventana nueva)) podrían extraer claves. |
| Portátil robado mientras tenía la sesión iniciada / estaba desbloqueado | No | El disco está descifrado, por lo que un atacante tiene acceso total. |
| Malware o hacker remoto mientras Windows está en ejecución | No | El cifrado de disco completo no protege frente al compromiso del software. |
| Ataque de doncella malvada | Parcialmente | El TPM detecta muchos cambios, pero ataques sofisticados pueden eludir o imitar las mediciones. |
| Cuenta de Microsoft hackeada | No (si Microsoft tiene tu clave) | El atacante podría recuperar la clave de recuperación y descifrar el disco sin conexión. |
| Olvidar tu contraseña o PIN | Depende | Se requiere la clave de recuperación. Sin ella, tus datos se pierden permanentemente. |
Seguridad técnica
BitLocker protege tus datos usando el algoritmo de cifrado AES. Por defecto, en sistemas modernos esto es AES-256 en modo XTS(ventana nueva) para una mayor protección de los datos en reposo. Es muy seguro.
Los sistemas más antiguos pueden usar como mínimo AES-128 en modo CBC(ventana nueva). Esto sigue siendo lo bastante fuerte como para proteger tus datos frente a la mayoría de los atacantes, aunque adversarios muy sofisticados (como actores estatales) podrían intentar ataques avanzados.
BitLocker utiliza un sistema de gestión de claves por capas. En el nivel superior está la Volume Master Key (VMK), que cifra la clave de cifrado real de los datos (la Full Volume Encryption Key, o FVEK).
La propia VMK queda protegida entonces por uno o más métodos de autenticación: un chip TPM (y/o contraseña, PIN, clave USB o una combinación de estos si usas la versión completa de BitLocker). Este diseño significa que puedes cambiar tu contraseña sin necesidad de volver a cifrar toda la unidad.
La seguridad de BitLocker gira totalmente en torno a la clave de recuperación
Así que siempre que la clave de recuperación esté segura, tus datos estarán muy seguros cuando tu dispositivo Windows esté apagado (volveremos sobre esto).
Imagina BitLocker como una puerta que protege tus valiosos datos, y tu clave de recuperación es la llave de esa puerta. Derribar la puerta para obtener tus datos es una tarea casi imposible, pero con la llave puedes simplemente abrirla. Por tanto, la clave de recuperación es el punto débil.
Esto es especialmente cierto cuando subes tu clave de recuperación a tu cuenta de Microsoft. Como muestran los acontecimientos recientes, Microsoft puede y efectivamente entrega las claves de recuperación de los usuarios a terceras partes, que pueden usarlas para acceder a tus datos.
Solo sin conexión
Otra consideración importante es que BitLocker solo protege tus datos cuando tu PC con Windows está apagado. Una vez que Windows está en ejecución, tus discos están descifrados y cualquiera con acceso a tu ordenador puede acceder a tus datos. Esto podría significar acceso físico o acceso digital (por ejemplo, si te han hackeado).
Esto es cierto para todas las soluciones de cifrado de disco completo (no solo BitLocker), pero puede ser importante tenerlo en cuenta según tu modelo de amenaza.
Ataques de doncella malvada
Un ataque de doncella malvada(ventana nueva) ocurre cuando alguien obtiene acceso físico temporal a tu dispositivo (por ejemplo, en un hotel o en una frontera) y lo modifica en secreto para poder robar tu clave de cifrado o PIN más tarde. En lugar de romper el cifrado, engañan al sistema para que lo revele.
Por defecto, la mayoría de los PC usan BitLocker con desbloqueo automático mediante el TPM, lo cual es sólido frente al robo pero más débil frente a manipulaciones. Para defenderte frente a ataques de doncella malvada, deberías activar BitLocker con un PIN previo al arranque o una clave USB, para que el disco no pueda desbloquearse automáticamente. Desafortunadamente, esto no es posible en Windows Home usando el Cifrado del dispositivo básico.
¿Puede el FBI obtener mis datos?
En resumen, sí. Microsoft es una empresa estadounidense y, por tanto, debe cumplir órdenes judiciales legalmente vinculantes y otros instrumentos legales, como las cartas de seguridad nacional(ventana nueva) (NSL), que obligan a las empresas a entregar enormes cantidades de datos personales y metadatos a organizaciones gubernamentales sin supervisión judicial alguna. Estas suelen ir acompañadas de una orden de silencio que impide a la empresa alertar a sus usuarios de que ha recibido una NSL.
En 2016, Apple libró una firme batalla contra las exigencias del FBI respaldadas por los tribunales para desbloquear un iPhone(ventana nueva) perteneciente a un sospechoso de terrorismo, que solo se resolvió cuando el FBI empleó a un tercero para romper con éxito el cifrado de Apple. Para evitar que se repita un incidente así, Apple ha pasado desde entonces a implantar cifrado de extremo a extremo en sus productos. Al fin y al cabo, no puede entregar claves de cifrado que simplemente no tiene.
Microsoft, sin embargo, no ha mostrado ninguna inclinación similar. Cuando subes tu clave de recuperación de BitLocker a tu cuenta de Microsoft, es Microsoft quien la cifra y (si surge la necesidad) Microsoft puede descifrarla. Así que Microsoft siempre puede acceder a tu clave de recuperación.
En 2025, el FBI pidió a Microsoft que proporcionara las claves de recuperación de BitLocker(ventana nueva) necesarias para desbloquear datos cifrados almacenados en tres portátiles vinculados a una investigación sobre supuesto fraude en Guam. Microsoft cumplió, y un portavoz dijo a Forbes que la empresa recibe unas 20 solicitudes de claves de BitLocker al año. En la mayoría de esos casos, Microsoft no puede cumplir porque esas claves no están almacenadas en cuentas de Microsoft. Pero la implicación es clara: si puede ayudar, lo hará.
Soluciones de cifrado alternativas
Si prefieres no confiar a Microsoft tu clave de recuperación de cifrado de disco completo, tienes varias opciones.
1. Usa Windows Pro
Si ya usas Windows Pro (o Enterprise), esta es la solución más sencilla. Si usas Windows Home, tendrás que comprar una nueva licencia y mejorar.
1. En Windows 11 Pro, abre la aplicación Ajustes y ve a Privacidad y seguridad → Cifrado de unidad BitLocker. Si acabas de mejorar desde Windows Home o usas Pro pero ya has subido tu clave de recuperación a Microsoft (el comportamiento por defecto si inicias sesión en Windows con tu cuenta de Microsoft), tendrás que desactivar BitLocker y esperar a que tu unidad se descifre).
2. Ve a account.microsoft.com/devices/recoverykey(ventana nueva) y elimina todas las claves que veas allí. ¡Asegúrate, por favor, de que tu unidad está descifrada antes de hacerlo!
3. Después podrás volver a activar BitLocker y seleccionar tu método preferido de copia de seguridad para la clave de recuperación.
2. Usa VeraCrypt en su lugar
Puede que, con toda razón, prefieras evitar por completo la solución de Microsoft (al fin y al cabo, ¿quién sabe lo que realmente está haciendo su código de código cerrado?).
VeraCrypt(ventana nueva) es un software de cifrado de disco completo de código abierto que ha pasado por varias auditorías de seguridad (en particular por QuarksLab en 2016(ventana nueva) y el Instituto Fraunhofer en 2020(ventana nueva)). Se encontraron problemas, pero VeraCrypt está en desarrollo activo, por lo que se han corregido. También tiene la considerable ventaja de ser 100 % gratuito (aunque te animamos a donar si puedes). Además del cifrado de disco completo, VeraCrypt puede:
- Crear un disco virtual cifrado (volumen) que puedes montar y usar igual que un disco real (y que puede convertirse en un volumen oculto)
- Crear una partición o unidad de almacenamiento que contenga un sistema operativo completo (que puede estar oculto). Esto proporciona negación plausible(ventana nueva), ya que debería ser imposible demostrar que existen (siempre que se tomen todas las precauciones correctas(ventana nueva)).
Los datos se cifran por defecto usando XTS-AES-256 (la misma configuración que usa BitLocker), pero puedes seleccionar entre múltiples algoritmos de cifrado alternativos (como Twofish) si lo prefieres. El acceso se protege con una frase de contraseña y/o un archivo de claves (que deberías almacenar en un lugar muy seguro).
Antes de instalar VeraCrypt, tendrás que desactivar BitLocker o Cifrado del dispositivo y descifrar tu unidad (como se describe arriba, pero en Windows 11 Home abre la aplicación Ajustes y ve a Privacidad seguridad → Cifrado de unidad BitLocker).
3. Abandona Windows
Si no puedes confiar a Microsoft tus claves de recuperación de cifrado de disco completo, ¿por qué usar siquiera su sistema operativo? Para alejarte de Windows, tienes dos opciones reales:
macOS
Los Mac son caros, muy propietarios y ofrecen una experiencia de usuario muy controlada. Sin embargo, pueden hacer prácticamente todo lo que puede hacer un PC y, a diferencia de Microsoft, Apple tiene un historial de resistirse a las exigencias gubernamentales de ayudar a acceder a dispositivos cifrados.
La solución integrada de cifrado de disco completo de macOS se llama FileVault, que puedes optar por activar cuando configuras tu Mac. Cuando lo haces, FileVault te ofrecerá subir tu clave de recuperación a tu cuenta de iClould, donde Apple podría acceder a ella y entregarla a terceros. Sin embargo, puedes elegir solo la clave de recuperación local, generando una clave numérica que anotas y guardas de forma segura o añades a tu gestor de contraseñas.
Otra opción es activar el ajuste opcional Protección de Datos Avanzada para iCloud(ventana nueva), que protege tus datos de iCloud usando cifrado de extremo a extremo. Esto significa que Apple no puede acceder a tu clave de recuperación de FileVault (ni a ningún otro dato subido a iCloud). Ten en cuenta, sin embargo, que la Protección de Datos Avanzada no está disponible para usuarios en todas las regiones (en particular el Reino Unido(ventana nueva)).
Linux
Linux es un sistema operativo de código abierto completamente gratuito que puede instalarse en tu hardware actual (y casi con toda seguridad funcionará mejor en él que Windows, que consume muchos recursos). Salvo unas pocas aplicaciones propietarias que simplemente no están disponibles en la plataforma (sobre todo cualquier cosa de Adobe, aunque existen buenas alternativas gratuitas de código abierto para la mayoría de ellas), Linux puede hacer todo lo que Windows y macOS pueden hacer.
Linux viene en muchos “sabores” distintos (llamados distribuciones, o simplemente distros), pero casi todos usan el sistema de cifrado de disco completo LUKS, que puede seleccionarse cuando instalas el SO.
LUKS no tiene una única “clave de recuperación” como BitLocker o FileVault. En su lugar, utiliza una clave maestra aleatoria que permanece en tu dispositivo y que puede desbloquearse usando un método de copia de seguridad de tu elección. Estos incluyen:
- Una segunda frase de contraseña
- Una frase de recuperación impresa
- Un archivo de claves almacenado sin conexión
- Una clave sellada por TPM (con frase de contraseña alternativa)
Reflexiones finales sobre BitLocker y el cifrado de disco completo
BitLocker es, desde una perspectiva puramente técnica, un sistema de cifrado de disco completo sólido y bien diseñado. Su uso de criptografía moderna, almacenamiento de claves respaldado por hardware y gestión de claves por capas lo hace muy eficaz a la hora de proteger tus datos frente a amenazas comunes, como un dispositivo perdido o robado. Para la mayoría de usuarios de Windows, BitLocker proporciona una protección significativa y fiable con un esfuerzo mínimo. Si tu modelo de amenaza es un portátil robado, BitLocker suele ser suficiente.
Sin embargo, como demuestran las revelaciones recientes sobre la cooperación de Microsoft con las fuerzas del orden, la seguridad de cualquier sistema de cifrado depende en última instancia de quién tenga las claves. Dependiendo de tu modelo de amenaza, el hecho de que la clave de recuperación de BitLocker se almacene en tu cuenta de Microsoft puede resultar profundamente preocupante.
Por suerte, tienes alternativas. Windows Pro te permite administrar tú mismo las claves de recuperación, mientras que herramientas de código abierto como VeraCrypt ofrecen una buena alternativa gratuita. Cambiar completamente de plataforma y alejarte de Microsoft, por ejemplo a macOS con claves de FileVault almacenado localmente o a Linux con LUKS, también es una opción sólida.
