BitLocker cifra el disco de Windows y protege los archivos si roban el portátil, se pierde o se extrae la unidad del equipo. Sin la clave de recuperación, la contraseña o un método de acceso autorizado, no se podrán leer los datos. Esta protección es útil para portátiles de trabajo, ordenadores domésticos con documentos, unidades internas y discos externos, pero el conjunto de funciones depende de la edición de Windows.
El control completo de BitLocker está disponible en Windows Pro, Enterprise y Education. En Windows Home suele funcionar otro modo: «Cifrado del dispositivo». Según la ayuda de Microsoft, este modo activa automáticamente BitLocker para la unidad del sistema y las unidades internas fijas, pero no ofrece el conjunto completo de opciones del BitLocker clásico. Por eso, a los propietarios de Windows Home les conviene leer con atención las secciones sobre unidades externas y la verificación de compatibilidad. Microsoft describe la diferencia en los artículos sobre cifrado del dispositivo y cifrado BitLocker.
El principal riesgo al configurar BitLocker no está en la propia protección, sino en la pérdida de la clave de recuperación. Si se pierde la clave, Microsoft no podrá emitir una nueva clave ni abrir la unidad en lugar del usuario.
Qué comprobar antes de activar BitLocker en Windows
Primero compruebe la edición de Windows. Abra «Configuración», luego «Sistema» y después «Acerca de». Busque la línea con la edición de Windows. Si aparece Pro, Enterprise o Education, puede activar BitLocker desde la ventana clásica «Administrar BitLocker». Si aparece Windows Home, abra «Configuración», luego «Privacidad y seguridad» y compruebe la presencia del elemento «Cifrado del dispositivo».
Si en Windows Home no aparece el elemento «Cifrado del dispositivo», la razón no siempre es un error del usuario. El dispositivo puede no cumplir los requisitos, aunque haya TPM en el sistema. Pulse Win + R, escriba msinfo32 y pulse Enter. En la sección «Resumen del sistema» busque la línea «Compatibilidad con el cifrado del dispositivo». Para que funcione correctamente debe indicar que el dispositivo cumple los requisitos. Si Windows muestra una lista de motivos, primero deberá corregirlos: activar las opciones UEFI necesarias, comprobar el TPM, Secure Boot u otros requisitos concretos del equipo.
A continuación compruebe el TPM. Pulse Win + R, escriba tpm.msc y pulse Enter. En la ventana abierta debe aparecer una línea sobre la disponibilidad del TPM para su uso. Microsoft indica que BitLocker junto con TPM ayuda a comprobar el entorno de arranque y a proteger las claves de cifrado frente a su extracción sencilla del disco. En las ediciones Pro y superiores hay métodos adicionales de protección: por ejemplo, se puede configurar el requisito de un PIN al arrancar desde las opciones de BitLocker o desde políticas locales. Haga esto solo después de haber guardado y comprobado la clave de recuperación.
Compruebe dónde se guardará la clave de recuperación. Para un ordenador personal es conveniente iniciar sesión en la cuenta de Microsoft, porque Windows puede guardar la clave en la cuenta en la nube. En un portátil de trabajo la organización suele guardar la clave. Si usa una cuenta local, prepare con antelación un lugar separado: una impresión, una unidad USB, un gestor de contraseñas seguro u otro soporte que no esté junto al portátil.
Configuración paso a paso de BitLocker en la unidad del sistema y en una externa
Paso 1. Inicie sesión en Windows con una cuenta de administrador. Abra el menú Inicio, escriba «BitLocker» y seleccione «Administrar BitLocker». Si no aparece esa opción, compruebe la edición de Windows. En Windows Home normalmente no está la ventana clásica de administración de BitLocker, así que use «Cifrado del dispositivo» si el equipo admite ese modo.
Paso 2. Busque la unidad del sistema. Normalmente se indica como C:. Haga clic en «Activar BitLocker». el asistente comprobará el equipo y propondrá elegir el método de desbloqueo. En los portátiles modernos Windows suele usar TPM. En ese caso el equipo arranca sin contraseña adicional de BitLocker. Si necesita un nivel de protección mayor, configure un PIN; esta opción está disponible en Pro y superiores.
Paso 3. Guarde la clave de recuperación. No omita este paso y guarde al menos dos copias en lugares distintos. La clave consta de 48 dígitos y se necesita si Windows no puede abrir la unidad automáticamente. Microsoft enumera las opciones en la ayuda sobre respaldo de la clave de recuperación: cuenta de Microsoft, archivo, impresión o la cuenta de la organización. No guarde la única copia de la clave en la misma unidad cifrada.
Paso 4. Elija la cantidad a cifrar. Para un equipo nuevo o una instalación reciente de Windows se puede elegir «Cifrar solo el espacio usado». Esta opción es más rápida porque BitLocker procesa solo los datos ya escritos. Para una unidad antigua, donde antes se guardaron archivos, es mejor elegir «Cifrar toda la unidad». Este modo tarda más, pero elimina rastros de datos que podrían quedar en el espacio libre del soporte.
Paso 5. Elija el modo de cifrado. Para la unidad interna de un equipo moderno elija el modo nuevo que Windows propone para discos instalados. Para una memoria USB o un disco externo que necesite conectarse a versiones antiguas de Windows, elija el modo compatible. Si el disco externo solo va a utilizarse con versiones actuales de Windows, se puede usar el modo nuevo.
Paso 6. Inicie la comprobación del sistema si el asistente ofrece esa opción. La comprobación ayuda a asegurarse de que el equipo arrancará con BitLocker activado y de que la clave de recuperación está guardada. Tras el reinicio, Windows empezará a cifrar la unidad. Se puede seguir trabajando en el equipo, pero es mejor conectar el portátil a la corriente.
Paso 7. Compruebe el estado. Abra de nuevo «Administrar BitLocker». Junto a la unidad C: debe aparecer una línea sobre la protección activada o el progreso del cifrado. Para comprobarlo desde la terminal abra el símbolo del sistema como administrador y ejecute manage-bde -status. El comando mostrará si la unidad está protegida y cuántos datos ya están cifrados.
Paso 8. Verifique la clave de recuperación antes de que ocurra un problema. Abra la página de la cuenta de Microsoft con las claves o el archivo donde guardó la clave. Compare el identificador de la clave con la entrada que muestra BitLocker. Ese identificador ayuda a elegir la clave correcta si el usuario tiene varios dispositivos o varias unidades cifradas. Microsoft explica este escenario en la ayuda para buscar la clave.
Para un disco externo el procedimiento depende de la edición de Windows. El cifrado completo de discos externos con contraseña y gestión desde «Administrar BitLocker» está disponible solo en Windows Pro, Enterprise y Education. En Windows Home se pueden cifrar unidades mediante «Cifrado del dispositivo». En Windows Home normalmente se puede desbloquear un disco externo ya cifrado con contraseña o clave de recuperación, pero no se puede cifrar una nueva unidad externa desde la interfaz estándar. Para esa tarea se necesita la versión Pro de Windows o herramientas de cifrado de terceros.
Para cifrar una unidad en Windows Pro o superior, conecte el dispositivo y abra «Administrar BitLocker». A continuación busque la unidad y haga clic en «Activar BitLocker». Para una unidad extraíble normalmente se elige desbloqueo con contraseña, luego se guarda la clave de recuperación y se inicia el cifrado. La contraseña debe ser larga y única. Sin fechas de nacimiento, nombres u otros datos personales. Y no use la misma contraseña para todas las unidades.
Tras la configuración, guarde la clave de recuperación separada del portátil. Una copia impresa en el bolso junto al equipo protege poco los datos: un atacante podría obtener el ordenador y la clave al mismo tiempo. Una buena opción para un equipo personal: la clave en la cuenta de Microsoft, una copia en un gestor de contraseñas seguro y una impresión en otro lugar seguro.
Antes de actualizar el BIOS, cambiar UEFI, activar o desactivar Secure Boot y sustituir hardware, suspenda temporalmente BitLocker. Abra «Administrar BitLocker» y haga clic en «Suspender protección». Tras las tareas, la protección suele reanudarse automáticamente después de un arranque correcto, pero a veces Windows pedirá la clave de recuperación una vez. Microsoft describe los motivos de este comportamiento en la sección sobre recuperación de BitLocker.
No desactive BitLocker por una comodidad menor. Si la protección dificulta el mantenimiento del equipo, use la suspensión, no el descifrado completo. Desactivar totalmente tiene sentido antes de vender el equipo, reinstalar el sistema, cambiar el esquema de protección o entregar el dispositivo a otra persona. Una vez al año o cada dos años compruebe que la clave de recuperación sigue accesible y que no se han perdido las copias.
Preguntas y respuestas
¿Se puede activar BitLocker en Windows Home?
El BitLocker clásico con la ventana «Administrar BitLocker» suele estar disponible en Windows Pro, Enterprise y Education. En Windows Home, en dispositivos compatibles, puede funcionar «Cifrado del dispositivo» para la unidad del sistema y las unidades internas fijas.
¿Por qué no aparece «Cifrado del dispositivo» en Windows Home?
El equipo puede no cumplir los requisitos. Pulse Win + R, escriba msinfo32 y compruebe la línea «Compatibilidad con el cifrado del dispositivo» en «Resumen del sistema». Si Windows muestra los motivos de la incompatibilidad, el elemento en la configuración puede no aparecer.
¿Se puede cifrar un disco externo en Windows Home?
Desde la ventana estándar «Administrar BitLocker» no se puede cifrar una nueva unidad externa en Windows Home, porque BitLocker To Go completo está disponible en las ediciones Pro y superiores. Un disco externo ya cifrado suele poder desbloquearse con contraseña o clave de recuperación.
¿Qué elegir: cifrar el espacio usado o toda la unidad?
Para un equipo nuevo normalmente basta cifrar el espacio usado. Para una unidad antigua es mejor elegir cifrar toda la unidad, porque el espacio libre podría contener restos de archivos eliminados.
¿Se pueden recuperar los datos sin la clave de recuperación?
En la situación habitual, no. La clave de recuperación es necesaria para acceder a la unidad cifrada cuando la desbloqueo automático no funciona. Microsoft advierte que el servicio de soporte no puede reemplazar una clave perdida.
Conclusión
BitLocker conviene configurarlo como un sistema de tres partes: cifrado activado, dos copias guardadas de la clave de recuperación y precaución al cambiar el BIOS, UEFI o el hardware. En Windows Pro y superiores se puede reforzar la protección con un PIN al arrancar. En Windows Home, primero compruebe la compatibilidad con «Cifrado del dispositivo» mediante msinfo32 y no cuente con el cifrado estándar de nuevas unidades externas.
El material tiene carácter informativo. Configure el cifrado solo en sus dispositivos o en equipos que tenga derecho a administrar. Al trabajar con equipos corporativos, cumpla las normas de la organización y los requisitos de la legislación de la Federación Rusa.
