- BitLocker cifra unidades completas de Windows apoyándose en el TPM para asegurar el arranque y proteger datos frente a robos o accesos físicos no autorizados.
- Solo algunas ediciones y licencias de Windows admiten BitLocker, y el cifrado de dispositivo usa la misma tecnología de forma más automática en equipos compatibles.
- La clave de recuperación puede guardarse en cuentas Microsoft, Entra ID, AD, USB o papel; sin ella, los datos cifrados son irrecuperables por diseño.
- Actualizar firmware, cambiar opciones de arranque o usar TPM 1.2 con ciertas políticas puede forzar el modo de recuperación, por lo que conviene suspender BitLocker antes de estos cambios.
Si usas Windows a diario, es bastante probable que en algún momento te hayas topado con el nombre BitLocker sin saber muy bien qué pinta ahí. Igual te apareció un mensaje pidiendo una clave de recuperación, o viste una opción para cifrar la unidad y no te atreviste a tocar nada por miedo a liarla. Tranquilo, es totalmente normal: hablamos de una de las funciones de seguridad más potentes de Microsoft y, precisamente por eso, también una de las que más dudas genera.
En este artículo vamos a desgranar con calma qué es exactamente BitLocker, cómo se integra con Windows y el ecosistema de Microsoft, qué requisitos tiene, qué tipos de cifrado ofrece, dónde se guarda la famosa clave de recuperación y qué problemas habituales pueden surgir. La idea es que, cuando termines de leer, tengas claro cómo funciona, qué hacer si Windows te pide una clave que no tienes y cómo evitar sustos en el futuro al actualizar BIOS, TPM o al cambiar opciones de arranque.
Qué es BitLocker y para qué sirve en Windows
BitLocker es una tecnología de cifrado de disco completo integrada en Windows pensada para proteger tus datos frente a robos, pérdidas de equipos o accesos no autorizados. No se limita a poner una contraseña de inicio de sesión: cifra el contenido de la unidad de forma que, sin la clave adecuada, los datos quedan ilegibles.
Normalmente, cuando inicias sesión en Windows, el sistema utiliza tus credenciales para desbloquear automáticamente la unidad cifrada. El problema aparece si alguien intenta saltarse ese inicio de sesión: por ejemplo, sacando físicamente el disco duro o SSD del portátil y conectándolo a otro PC. Sin BitLocker, podría leer los archivos sin demasiada complicación; con BitLocker activo, lo único que verá será una masa de datos completamente cifrados.
La protección que ofrece BitLocker se basa en un cifrado fuerte (usa el algoritmo AES con claves de 128 o 256 bits, según configuración), aplicado sobre toda la unidad o sobre volúmenes concretos. Esto hace que, incluso aunque el ladrón tenga acceso físico al disco, necesite la clave de recuperación o los protectores configurados para poder abrirlo.
BitLocker está disponible desde versiones antiguas como Windows Vista y sigue presente en Windows 7, 8, 10 y 11, aunque solo en ediciones concretas del sistema, algo que veremos más adelante. Además, Microsoft lo utiliza como base para otras funciones, como el cifrado automático de dispositivos en equipos modernos.
BitLocker y el papel del TPM en la seguridad
Para que BitLocker brille de verdad, lo ideal es combinarlo con un TPM (Trusted Platform Module), un chip de seguridad que muchos equipos Windows traen de serie. Este módulo se encarga de almacenar claves de forma segura y de validar que el sistema no ha sido manipulado antes del arranque.
El TPM trabaja junto a BitLocker para comprobar la integridad del entorno de arranque. Si detecta cambios sospechosos (por ejemplo, una UEFI modificada o parámetros de arranque alterados), puede forzar el modo de recuperación de BitLocker, obligando a introducir la clave de recuperación de 48 dígitos antes de acceder a los datos.
Además del TPM, BitLocker puede reforzar la seguridad pidiendo al usuario que introduzca un PIN de inicio o que conecte una unidad USB con una clave de arranque antes de completar el arranque. Esto se traduce en una especie de autenticación multifactor: hardware (TPM), más algo que sabes (PIN) o algo que tienes (USB), haciendo muy difícil que terceros arranquen el sistema sin tu permiso.
En equipos que no disponen de TPM, BitLocker sigue siendo utilizable, pero con matices importantes. En esos casos, el cifrado del sistema operativo exige que el usuario use una clave de inicio guardada en una unidad USB, o una contraseña de acceso. La alternativa de contraseña simple es teóricamente posible, pero está desaconsejada porque está expuesta a ataques de fuerza bruta y, de hecho, viene deshabilitada por defecto en Windows precisamente por motivos de seguridad.
Sin TPM, se pierde también la verificación de integridad del arranque que BitLocker realiza cuando tiene acceso a este chip. Es decir, puedes cifrar, pero no dispones de la misma protección frente a manipulaciones del firmware o del entorno previo a la carga de Windows, algo clave en entornos corporativos o de alta seguridad.
Requisitos de sistema y configuración de las unidades
Antes de activar BitLocker, conviene tener claros los requisitos técnicos y de particionado que impone Microsoft. No basta con pulsar “Activar” y listo: el sistema tiene que cumplir ciertos puntos para que el cifrado funcione bien y de forma estable.
En primer lugar, si quieres aprovechar la comprobación de integridad con TPM, el equipo debe disponer de un TPM 1.2 o superior. Si no lo tiene, como comentábamos, Windows te exigirá usar una clave de inicio en un USB para poder cifrar la unidad del sistema operativo. Nada impide cifrar volúmenes de datos sin TPM, pero el arranque seguro se complica.
También es importante que el firmware del equipo (BIOS o UEFI) sea compatible con el TCG (Trusted Computing Group) y admita la raíz estática de confianza requerida para medir el arranque. Esto se da prácticamente en cualquier equipo moderno, pero en máquinas muy antiguas puede ser un cuello de botella. En equipos sin TPM, esta compatibilidad con TCG ya no es obligatoria.
Otro requisito relevante es el soporte del firmware para la clase de dispositivo de almacenamiento masivo USB y la lectura de archivos desde unidades USB en el entorno previo a Windows. Esto es clave si usas claves de inicio en pendrive o si dependes de medios externos para recuperar el sistema.
Por último, el disco debe estar particionado correctamente. BitLocker necesita al menos dos unidades lógicas diferenciadas: una unidad de sistema operativo (donde está instalado Windows, en NTFS) y una unidad de sistema dedicada al arranque, que no se cifra. Esta segunda partición contiene los archivos necesarios para arrancar, descifrar y cargar Windows, y debe ir en FAT32 si usas UEFI o en NTFS si usas BIOS tradicional. Microsoft recomienda un tamaño de unos 350 MB para esta unidad, lo que deja en torno a 250 MB libres una vez activado BitLocker.
Ediciones de Windows y licencias que permiten usar BitLocker
No todos los Windows son iguales a la hora de seguridad. BitLocker está limitado a ediciones de gama profesional o empresarial, así que si estás en una versión Home, por mucho que busques, no lo verás disponible para cifrar el disco del sistema.
La función de cifrado de unidad con BitLocker está disponible en Windows Pro, Windows Enterprise, Windows Pro Education/SE y Windows Education. Si tu equipo lleva una de estas ediciones, deberías poder activar BitLocker en la unidad del sistema operativo y en las unidades de datos fijas, siempre que cumplas los requisitos de hardware anteriores.
En cuanto a tipos de licencias, las licencias que otorgan derechos para habilitar BitLocker incluyen, entre otras, Windows Pro/Pro Education/SE, Windows Enterprise E3 y E5, y Windows Education A3 y A5. En entornos corporativos, esto suele estar gestionado por los administradores de TI, que pueden imponer el cifrado como requisito mediante políticas de grupo.
Aunque el usuario doméstico típico no se pare a pensarlo, en empresas es común que BitLocker venga activado de serie siguiendo las directrices de seguridad de la organización. De ahí que, a veces, el propio usuario ni sepa que su disco está cifrado hasta que aparece una pantalla azul de recuperación pidiendo la clave.
Es importante tener claro que, aunque existan funciones parecidas de cifrado automático, como el cifrado de dispositivo en equipos modernos, la implementación estándar de BitLocker ofrece más control y más opciones de configuración: elección de protectores, tipo de cifrado, integración con Active Directory, Intune, MBAM, etc.
Cifrado de dispositivo frente a BitLocker clásico
Microsoft ofrece una función llamada cifrado de dispositivo que, en realidad, se basa internamente en BitLocker, pero se comporta de forma más automática y simplificada. Está disponible en todas las ediciones de Windows, siempre que el hardware cumpla ciertos requisitos como modo de espera moderno o certificación HSTI.
La idea del cifrado de dispositivo es que el propio sistema active el cifrado sin que el usuario tenga que hacer prácticamente nada. Cuando completas una instalación limpia de Windows y terminas el asistente inicial, el equipo prepara la unidad del sistema operativo y las unidades fijas para cifrarse automáticamente. Durante un tiempo, la unidad queda en un estado similar a “suspendido” (clave clara), y en el Explorador de archivos se muestra un icono de advertencia hasta que se crea el protector TPM y se hace copia de seguridad de la clave de recuperación.
En dispositivos unidos a Microsoft Entra ID (el antiguo Azure AD) o a un dominio de Active Directory, la clave sin cifrar se elimina cuando la clave de recuperación se copia correctamente en la cuenta correspondiente. Eso exige que la directiva adecuada esté activa: la que determina cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker. A partir de ahí, el cifrado de dispositivo pasa a estar completamente operativo y gestionado.
Si el dispositivo no está unido a Entra ID ni a un dominio, se requiere que haya al menos una cuenta Microsoft con permisos de administrador en el equipo. Al iniciar sesión con esa cuenta, Windows sube la clave de recuperación a la cuenta Microsoft online, crea el protector TPM y borra la clave sin cifrar. Cuando en el futuro sea necesario usar la clave, el asistente guiará al usuario para que, desde otro dispositivo, visite la URL específica de recuperación e inicie sesión con su cuenta Microsoft para obtenerla.
En cambio, si el equipo solo tiene cuentas locales y no hay sesión con cuenta Microsoft ni unión a dominio, el dispositivo permanece en la práctica desprotegido, aunque técnicamente los datos estén cifrados. Sin un mecanismo adecuado de copia de seguridad de claves, la recuperación será problemática y es fácil que un error deje el equipo inutilizable si se pide una clave que nadie guardó.
Si inicialmente tu equipo no era válido para el cifrado de dispositivo (por ejemplo, porque el arranque seguro estaba desactivado) y cambias la configuración para que cumpla los requisitos, Windows puede habilitar BitLocker automáticamente en cuanto detecte que ya pasa todos los chequeos. Puedes comprobar si tu dispositivo es compatible abriendo la herramienta Información del sistema (msinfo32.exe) y buscando la línea que indica el estado de compatibilidad con el cifrado de dispositivos.
Dónde se guarda la clave de recuperación de BitLocker y cómo encontrarla
La famosa clave de recuperación de BitLocker, ese código de 48 dígitos que tantas veces aparece cuando hay problemas, puede estar almacenada en varios sitios distintos según cómo se haya configurado el equipo. Entender esto marca la diferencia entre recuperar tu PC y perder todos los datos.
En muchos casos, especialmente en equipos personales, si alguna vez iniciaste sesión con una cuenta Microsoft, Windows habrá guardado automáticamente una copia de esa clave en tu portal de cuenta de Microsoft. Puedes comprobarlo entrando en la página de recuperación de claves de dispositivos de Microsoft (account.microsoft.com/devices/recoverykey) con la misma cuenta que usabas en el equipo cifrado. Si el dispositivo aparece en la lista pero sin claves asociadas, significa que nunca se hizo esa copia de seguridad en esa cuenta concreta.
También es bastante común que, durante la activación de BitLocker, el asistente te ofrezca imprimir la clave de recuperación en papel. Si sospechas que pudiste haberlo hecho, revisa calmadamente carpetas de documentos importantes, archivadores, sobres o cualquier lugar donde guardes papeles relacionados con el ordenador. En esa hoja suele aparecer un identificador de clave y la clave de recuperación completa.
Otra posibilidad es que el usuario decidiera guardar la clave en una unidad USB o en un archivo de texto en otro equipo o en la nube (OneDrive, Google Drive, etc.). Merece la pena revisar pendrives, discos externos y servicios de almacenamiento que utilices habitualmente en busca de un documento de texto o PDF con el término “BitLocker” o “clave de recuperación”.
En entornos de empresa, la cosa cambia: por lo general, las claves de BitLocker se almacenan de forma centralizada en Active Directory, Microsoft Entra ID, Intune, MBAM o soluciones equivalentes. Si ese es tu caso y tu portátil está bloqueado, lo adecuado es contactar con el departamento de TI para que localicen y te proporcionen la clave asociada a tu dispositivo.
Si, tras revisar todo lo anterior, llegas a la conclusión de que no existe copia alguna de la clave de recuperación, no hay atajos mágicos: BitLocker está diseñado para que, sin esa clave, los datos sean irrecuperables. No se puede desactivar ni “romper” BitLocker por fuerza bruta de forma razonable. Lo único factible será formatear completamente la unidad y reinstalar Windows, asumiendo la pérdida total de la información cifrada.
Cómo acceder y configurar BitLocker desde Windows
Para los equipos que sí tienen BitLocker disponible, Windows proporciona un panel bastante claro llamado “Cifrado de unidad BitLocker”, desde el que puedes ver el estado de las unidades y activar o desactivar el cifrado en las que proceda.
El proceso es sencillo: primero debes iniciar sesión con una cuenta con permisos de administrador. Después, desde el menú Inicio, escribe “BitLocker” en el buscador y elige la opción “Administrar BitLocker” que aparece en los resultados. Esta acción abrirá el applet clásico del Panel de control dedicado a BitLocker.
En esa ventana verás listadas todas las unidades conectadas al equipo. La unidad del sistema operativo (donde está instalado Windows) aparecerá claramente diferenciada. Debajo, tendrás las “Unidades de datos fijas” (discos internos adicionales o particiones de datos) y, por último, el apartado “Unidades de datos extraíbles: BitLocker To Go”, donde se muestran pendrives y discos USB compatibles.
Junto a cada unidad verás las acciones disponibles. Si una unidad no está cifrada, podrás seleccionar la opción “Activar BitLocker”. A partir de ahí, el asistente te pedirá que elijas un método de desbloqueo (PIN, contraseña, TPM, clave de inicio, etc.) y que hagas copia de seguridad de la clave de recuperación (en tu cuenta Microsoft, archivo, papel, AD, etc.).
Una vez tomada esa decisión, BitLocker comenzará el proceso de cifrado. Dependiendo del tamaño de la unidad y del rendimiento del disco, puede tardar bastantes minutos o incluso horas, pero puedes seguir utilizando el equipo mientras se completa. En todo ese tiempo, Windows te mostrará el progreso y el estado de la operación.
Cómo y cuándo desactivar BitLocker en Windows
Aunque BitLocker aporta una capa de seguridad muy interesante, puede darse el caso de que prefieras tener el disco sin cifrar por comodidad (en un PC de sobremesa que nunca se mueve, por ejemplo) o porque utilizas herramientas que no se llevan bien con el cifrado.
En Windows 11, puedes gestionar esto desde la aplicación Configuración, en el apartado Privacidad y seguridad, donde suele aparecer una sección para cifrado de dispositivo o BitLocker según la edición instalada. Desde ahí podrás suspender el cifrado temporalmente o desactivarlo por completo, lo que implica descifrar la unidad.
En el caso del cifrado de dispositivo automático, algunas organizaciones o usuarios avanzados optan por impedir que se active automáticamente. Para ello existe una clave de Registro específica: en la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker se puede crear o modificar el valor DWORD PreventDeviceEncryption a 0x1, lo que bloquea ese cifrado automático.
Desactivar BitLocker no borra datos, simplemente elimina la capa de cifrado y deja la unidad en claro. Eso sí, durante este proceso la información está especialmente expuesta, por lo que conviene valorar bien si merece la pena renunciar a esta protección, sobre todo en portátiles o dispositivos que se mueven fuera de casa u oficina.
En cualquier caso, la ventaja es que puedes volver a activar BitLocker en cualquier momento, siempre que sigas en una edición de Windows compatible y tu hardware cumpla los requisitos. Es, en esencia, una decisión de equilibrio entre seguridad, rendimiento y comodidad.
Problemas frecuentes con BitLocker y situaciones de recuperación
Aunque BitLocker suele funcionar sin que el usuario se entere de nada, hay situaciones en las que Windows puede entrar en modo de recuperación y pedir la clave de manera inesperada. Microsoft documenta varios escenarios típicos en los que ocurre esto y cómo abordarlos.
Uno de los casos más frustrantes es cuando el sistema solicita una contraseña de recuperación que el usuario asegura no haber configurado nunca. En entornos de dominio, esto suele deberse a políticas de grupo que gestionan BitLocker de manera centralizada y que pueden haber creado protectores o contraseñas sin intervención directa del usuario. En estos casos, la recomendación es revisar la documentación de BitLocker y AD DS o hablar con el equipo de TI.
En portátiles donde la clave de recuperación no se guardó en ningún lado y el usuario habitual no está disponible, la recuperación se complica bastante. Existen métodos para que un administrador haga una copia de seguridad manual de la información de recuperación en AD DS usando scripts WMI o el comando manage-bde.exe con la opción -protectors -adbackup sobre la unidad C:. Eso sí, requieren que el protector y la clave aún sean accesibles.
Otro problema curioso afecta a tabletas o dispositivos tipo pizarra que no admiten bien el comando manage-bde.exe -forcerecovery como método para probar el modo de recuperación. En estos equipos, el gestor de arranque de Windows no puede procesar adecuadamente la entrada táctil en la fase previa al sistema operativo y redirige la interacción a WinRE.
Cuando WinRE detecta un protector TPM intenta volver a sellar las PCR, pero si previamente las has eliminado con el comando de forzar recuperación, se genera un bucle de reinicio en modo de recuperación que impide que Windows arranque con normalidad. Este comportamiento es así por diseño, por lo que la solución pasa por omitir temporalmente la unidad en la pantalla de recuperación, entrar a las opciones avanzadas, abrir un símbolo del sistema, desbloquear la unidad con la clave de recuperación y deshabilitar los protectores para romper el ciclo.
Las actualizaciones de firmware UEFI o del propio TPM en dispositivos como Microsoft Surface son otra fuente habitual de sustos. Si el TPM está configurado con PCR no estándar (por ejemplo, con arranque seguro desactivado o valores de PCR definidos por directiva), al actualizar el firmware el sistema puede empezar a pedir la clave de recuperación en cada arranque o incluso entrar en un bucle que no deja iniciar Windows.
En estos casos, la salida pasa por usar la clave de recuperación junto con una imagen de recuperación de Surface en un USB, arrancar desde ahí, desbloquear la unidad mediante manage-bde.exe, deshabilitar los protectores de TPM y, una vez dentro de Windows, restaurar la configuración predeterminada de arranque seguro y PCR. Microsoft recomienda también suspender BitLocker antes de aplicar actualizaciones de firmware y reanudarlo después.
Hay incluso escenarios específicos con TPM 1.2 y funciones de seguridad basadas en virtualización como Device Guard y Credential Guard, en los que cada reinicio provoca un error 0xC0210000 y pide la clave de recuperación. El problema es que TPM 1.2 no soporta arranque seguro, y ciertas políticas de grupo pueden forzar una configuración incompatible. La solución pasa por sacar esos equipos de los GPO que exigen inicio seguro o deshabilitar esa parte de la configuración.
Por último, Microsoft ha documentado casos concretos en Windows 11 24H2 donde, tras instalar determinadas actualizaciones acumulativas y luego revertir a una versión anterior, BitLocker deja de aceptar el PIN aunque sea correcto. En esos supuestos, la vía de escape es desbloquear el dispositivo usando la contraseña de recuperación u otro mecanismo alternativo e instalar la actualización correctiva publicada por Microsoft.
Todo este catálogo de problemas puede sonar un poco dramático, pero en la práctica, con una buena política de copias de seguridad de claves y suspendiendo BitLocker antes de tocar el firmware, la mayoría de usuarios nunca se encontrará con ellos. Aun así, conviene saber que existen y cómo reaccionar si ves la pantalla azul de BitLocker más a menudo de lo razonable.
En definitiva, BitLocker y el cifrado de dispositivo de Microsoft forman un pilar fundamental de la seguridad en equipos Windows modernos. Bien configurados, te protegen de robos, pérdidas y accesos físicos no autorizados sin que tengas que hacer gran cosa en el día a día. La clave está en conocer sus requisitos, entender la importancia crítica de la clave de recuperación y tomar precauciones cada vez que toques BIOS, TPM o políticas de arranque, para aprovechar su potencia sin convertirlo en un enemigo que te deje fuera de tu propio PC.
