Cómo encriptar discos duros y USB con BitLocker en Windows 10

Protege tu información confidencial frente a robos o pérdidas. En esta guía completa aprenderás a configurar el cifrado de unidad BitLocker en Windows 10 para discos y USB.

BitLocker es la herramienta de cifrado integral de Microsoft diseñada para proteger los datos mediante el blindaje de volúmenes completos. Al encriptar una unidad, los algoritmos matemáticos alteran la estructura de los archivos, volviéndolos ilegibles para cualquier usuario o programa que no posea la clave de acceso correcta.

¿Cómo funciona el cifrado de BitLocker?

Windows 10 emplea principalmente dos métodos para gestionar la seguridad de las claves:

  • Cifrado por TPM: Utiliza el Módulo de plataforma segura (un chip físico en la placa base) para almacenar las claves de forma inexpugnable. Ofrece el mejor rendimiento y seguridad nativa.
  • Cifrado por Software: Si tu equipo no dispone de chip TPM, BitLocker puede funcionar almacenando las claves en una unidad externa o mediante contraseña, aunque requiere una configuración previa en las directivas de grupo.

Tabla de contenidos:

Requisitos del sistema para BitLocker

Para asegurar un cifrado estable, tu equipo debe cumplir con los siguientes estándares:

  • Hardware: Chip TPM 1.2 o superior (para cifrado por hardware).
  • Firmware: BIOS o UEFI compatible con Trusted Computing Group (TCG).
  • Particiones: El disco requiere una partición de sistema no cifrada (aprox. 350 MB) para el arranque.
  • Versión de Windows: Es obligatorio disponer de Windows 10 Pro o Enterprise. Las versiones Home no incluyen esta funcionalidad.

Configurar encriptación de 256 bits

Por defecto, Windows utiliza el algoritmo XTS-AES 128-bit. Si buscas la máxima seguridad, puedes elevarlo a 256-bit:

  1. Pulsa Windows, escribe Editar directiva de grupo y pulsa Intro.
Abrir editor de directivas
Abrir editor de directivas
Acceso a la configuración avanzada de directivas de grupo local en Windows 10
  1. Navega a: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker.
  2. Abre Elegir método de cifrado e intensidad (Windows 10 versión 1511 y posteriores).
  3. Selecciona Habilitada y cambia los valores a XTS-AES 256 bits.
Configurar AES 256 bits
Configurar AES 256 bits
Cambio de la intensidad de cifrado predeterminada a 256 bits para mayor seguridad

Preparar Windows para equipos sin TPM

Si al intentar cifrar recibes un error indicando que no se encuentra el dispositivo TPM, debes habilitar una excepción:

  1. En el Editor de directivas, ve a: Cifrado de unidad BitLocker > Unidades del sistema operativo.
  2. Habilita la directiva Requerir autenticación adicional al iniciar.
  3. Asegúrate de que esté marcada la opción Permitir BitLocker sin un TPM compatible.
Permitir BitLocker sin TPM
Permitir BitLocker sin TPM
Activación de la compatibilidad de cifrado para placas base que carecen de chip de seguridad físico

Cifrar la unidad del Sistema Operativo

Este proceso protegerá todo tu disco principal, incluyendo archivos de usuario y del sistema:

  1. Busca Administrar BitLocker en el menú de inicio.
  2. En la unidad C:, haz clic en Activar BitLocker.
Activar BitLocker en C
Activar BitLocker en C
Inicio del asistente de cifrado para la partición principal del sistema operativo
  1. Elige Escribir una contraseña y establece una clave robusta.
  2. Crítico: Guarda la clave de recuperación en un archivo externo o imprímela. Nunca la guardes solo en la unidad que vas a cifrar.
Guardar clave recuperación
Guardar clave recuperación
Proceso de guardado de la clave de emergencia para evitar la pérdida de acceso a los datos
  1. Selecciona Cifrar solo el espacio en disco utilizado si el equipo es nuevo, o Cifrar unidad entera si ya contenía datos sensibles.
  2. Reinicia el equipo para iniciar el cifrado.

Cifrar unidades de datos internas

Para discos secundarios de almacenamiento:

  1. En Administrar BitLocker, busca Unidades de datos fijas.
  2. Sigue el mismo proceso de creación de contraseña y respaldo de clave de recuperación.

Cifrar unidades externas (BitLocker To Go)

Para proteger un pendrive o disco externo, Windows utiliza BitLocker To Go. Para que sea compatible con cualquier equipo, se recomienda crear una pequeña partición de sistema (350MB) sin cifrar dentro del USB antes de empezar.

Particionado USB para BitLocker
Particionado USB para BitLocker
Estructura de particiones necesaria en una memoria USB para garantizar la compatibilidad del cifrado
  1. Conecta el USB y selecciona Activar BitLocker en la sección de unidades extraíbles.
  2. El proceso es idéntico al de unidades fijas, permitiéndote usar la memoria en otros PCs introduciendo la contraseña.

Cómo recuperar una unidad bloqueada

Si olvidas la contraseña, necesitarás el archivo .txt de recuperación que guardaste anteriormente:

  1. En la pantalla de desbloqueo, pulsa en Más opciones y luego en Escribir clave de recuperación.
  2. Identifica el ID de clave que muestra Windows y busca el archivo correspondiente.
Archivo de clave recuperación
Archivo de clave recuperación
Ejemplo del contenido de un archivo de texto con el identificador y la clave numérica de BitLocker
Nota de seguridad: El cifrado BitLocker es extremadamente robusto. Si pierdes tanto la contraseña como la clave de recuperación, no hay forma humana de recuperar los datos. Guarda tus copias de seguridad de la clave en un lugar seguro (nube o caja fuerte).