Esta herramienta de Windows permite cifrar discos duros

Esta herramienta de Windows permite cifrar discos duros

Ignacio Sala

Tanto si nuestra principal herramienta de trabajo es un portátil que llevamos de aquí para allá, como si trabajamos con un ordenador de sobremesa en un espacio compartido, siempre debemos hacer es velar por la seguridad de los datos que almacenamos en su interior. Lo primero y principal es añadir una primera barrera de protección añadiendo un PIN de acceso, contraseña o cualquier otro método biométrico. Lo segundo es añadir medidas de protección adicionales cifrando los datos de su interior.

En el mercado podemos encontrar diferentes herramientas que nos ayudarán a cifrar el contenido de nuestra unidad de almacenamiento. Sin embargo, no hace falta recurrir estas soluciones ya que Windows, en la versión Pro, nos ofrece la herramienta BitLocker, una de las herramientas más potentes disponibles en el mercado para cifrar unidades de almacenamiento.

Qué es BitLocker

BitLocker es una aplicación nativa que Microsoft incluye en Windows desde la versión Server 2008 en adelante, aplicación que no se encuentra disponible en la versión Home de Windows. Solo la vamos a encontrar en las versiones Pro, para Educación y para Empresas de Windows. Esta aplicación cifra volúmenes completos, es decir, cifra discos duros o particiones utilizando el algoritmo AES, uno de los más seguros del mercado. Con BitLocker no podemos cifrar el contenido de carpetas, únicamente volúmenes completos. Si queremos cifrar carpetas, debemos utilizar otras herramientas.

La herramienta de cifrado BitLocker, como hemos comentado, lleva en funcionamiento hace varios años en Windows, por lo que no es necesario que nuestra placa base incluye un chip TPM, uno de los requisitos, junto con el arranque seguro de Windows 11, aunque si dispone del chip TPM, añadiremos un extra de seguridad adicional. Sin embargo, en estos casos, es necesario que el usuario introduzca una contraseña para desbloquear el acceso.

Cómo funciona BitLocker

BitLocker añade una protección adicional a las unidades de almacenamiento. Si perdemos o nos roban el portátil, cualquier persona con los conocimientos y aplicaciones adecuadas, puedes extraer todo el contenido de nuestro disco duro conectándolo a otro equipo, aunque estuviéramos utilizando un PIN de bloqueo en nuestra cuenta.

Esta herramienta añade una capa extra de seguridad al equipo cuando este no está conectado al equipo asociado. Es decir, que con esta herramienta vamos a poder proteger el contenido almacenado en su interior de forma que si cualquier persona extrae el disco duro de nuestro PC no podrá acceder a su contenido siempre y cuando no conozca la clave de cifrado.

Ahora que ya sabemos qué es BitLocker y cómo funciona, ha llegado el momento de activar esta funcionalidad de Windows.

A tener en cuenta

Antes de comenzar a utilizar Bitlocker, debemos tener en cuenta que esta aplicación/función de Windows, solo está disponible en las versiones de Windows Pro, para Educación y para Empresas. Esta función no está disponible en la versión Home de Windows, la versión más utilizada en el ámbito doméstico, por lo que, lo primero que debemos hacer es comprobar que tipo de versión de Windows tenemos instalada. Esta información está disponible a través de la configuración de Windows (Win + i), Sistema, en el apartado Acerca de si se trata de Windows 10. Si el equipo está gestionado por Windows 11, para comprobar que versión de Windows tenemos instalada, desde configuración de sistema (Win + i), accedemos a Sistema y, seguidamente, pulsamos en Información. La información acerca de la versión de Windows instalada se encuentra en el apartado Especificaciones de Windows.

Para cifrar una unidad de almacenamiento haciendo uso de BitLocker, podemos utilizar dos métodos, vía hardware o software. Si utilizamos vía hardware, es necesario que nuestro equipo incluya un chip TPM y que el equipo esté asociado a una cuenta de Microsoft. Pero, si nuestro equipo carece de este chip, podemos utilizar el método por software, aunque requiere que el usuario interactúa con el equipo para identificarse y que el equipo desbloquee el acceso a los datos que almacena.

El equipo donde vamos a utilizar BitLocker necesita tener dos particiones. Una partición del sistema con los archivos necesarios para iniciar el equipo y otra donde se instalará Windows. No debemos preocuparnos por esto ya que la propia aplicación se encargará de realizar todo el proceso. Si, además, queremos cifrar otras unidades, estas deben utilizar el sistema de archivos NTFS.

Dependiendo de la cantidad de datos que se almacenen en el equipo en el momento de cifrarlo, el proceso puede tarar más o menos tiempo, por lo que debemos desactivar cualquier método de ahorro de energía que pueda detener el proceso, lo que podría conllevar una pérdida de todos los datos.

Por último y no por ello, menos importante, antes de nada, debemos hacer una copia de seguridad de todos los datos que tenemos almacenados en su interior, ya que se van a realizar cambios importantes sen el sistema y, aunque hay pocas posibilidades de que el proceso falle, el riesgo está ahí, por lo que, si no queremos perder nuestros datos si sucede cualquier fallo, una copia de seguridad es lo primero que debemos hacer.

Activar BitLocker en Windows con TPM

El proceso para activar BitLocker, siempre y cuando nuestra versión de Windows sea Pro o Enterprise, es el mismo tanto en Windows 10 como en Windows 11, siempre y cuando tengamos un chip TPM, en nuestro equipo. Lo primero que debemos hacer es acceder al Panel de control de Windows (utilizando el cuadro de búsqueda).

Dentro del Panel de control, pulsamos en Sistema y seguridad. En su interior, pulsamos en Cifrado de unidad BitLocker. Recordemos que este menú solo se muestra si el equipo está gestionado por Windows Pro, para Educación y para Empresas. Si no aparece, significa que este tiene una versión Home de Windows.

Seguidamente, se mostrará una nueva ventana con todas las unidades que tenemos en el equipo. El proceso para cifrar una unidad de almacenamiento con BitLocker es diferente dependiendo de si se trata de la unidad del sistema operativo o si hablamos de unidad de unidad dedicada únicamente a almacenar datos.

BitLocker cifrar sistema operativo

Cifrar unidad del sistema operativo

Para cifrar la unidad del sistema operativo, pulsamos en Activar BitLocker dentro de la sección Unidad de sistema operativo. Windows nos ofrece diferentes métodos para almacenar la clave de recuperación de Windows. La opción recomendable es utilizar la opción Guardar en la cuenta de Microsoft, ya que, de esta forma, no hará falta tener siempre a mano un archivo en un USB o una contraseña en papel con el riesgo que ello conlleva. Cada vez que iniciemos sesión con nuestro equipo, se desbloqueará el acceso a todo el contenido que tengamos almacenado en su interior. Si seleccionamos la opción Guardar en un archivo, tendremos que introducir un USB donde almacenarla. Mientras que, si optamos por imprimir la clave de recuperación, esta se imprimirá o, si no tenemos impresora, podemos guardar la contraseña en un archivo PDF. Una vez hemos guardado la clave de recuperación, pulsamos en Siguiente.

BitLocker cifrar sistema operativo

A continuación, debemos seleccionar que parte de la unidad queremos cifrar. Si queremos cifrar una unidad nueva (unidad de almacenamiento que hemos conectado) que es donde vamos a almacenar todos los datos que queremos proteger, debemos seleccionar la opción Cifrar solo el espacio en disco utilizado.

Pero, si no tenemos ninguna unidad conectada y queremos cifrar el disco duro que estamos utilizando con Windows, la opción que debemos elegir es Cifrar la unida entera. Este método es más lento que el anterior, sin embargo, es la opción ideal para cifrar con BitLocker el disco duro que estamos utilizando. Seleccionamos la opción que deseemos y pulsamos en Siguiente.

BitLocker cifrar sistema operativo

En el siguiente apartado, Windows nos ofrecerá que método de encriptación queremos utilizar. Con el lanzamiento de Windows 10, en su versión 1511, Microsoft lanzó un nuevo modo de cifrado, denominado XTS-AES que ofrece una mayor protección, pero que no es compatible con versiones anteriores de Windows. Si estamos cifrando la unidad principal del equipo, unidad que no vamos a extraer para conectar a ningún ordenador, debemos seleccionar la opción Modo de cifrado nuevo.

Pero, si se trata de un disco duro que, si podemos utilizar en otros equipos, equipos que estén gestionados por versiones más antiguas de Windows, debemos seleccionar la opción Modo compatible. Si ciframos una unidad de almacenamiento que vamos a conectar a otros equipos con el Modo de cifrado nuevo, si lo conectamos a otros equipos con versiones más antiguas de Windows, no vamos a poder acceder a la información. Finalmente, pulsamos en Siguiente.

BitLocker cifrar sistema operativo

Finalmente, se mostrará una nueva ventana donde Windows nos confirma que está a punto de iniciar el proceso de cifrado con BitLocker, un proceso que puede tardar varios minutos o incluso horas, si la unidad de almacenamiento es HDD y tiene una gran cantidad de información en su interior para cifrar. Aunque podemos seguir trabajando con el equipo, este irá más lento de lo normal y alargará el tiempo necesario para realizar el proceso. Lo mejor es dejar el equipo en funcionamiento y dedicarnos a otra cosa.

Debemos marcar la casilla Ejecutar la comprobación del Sistema de BitLocker para comprobar que BitLocker puede leer correctamente las claves de recuperación y de cifrado antes de cifrar la unidad. Finalmente pulsamos en Iniciar cifrado.

BitLocker cifrar sistema operativo

Si durante el proceso de configuración no tenemos muy claro si queremos llevarlo a cabo o tenemos alguna duda, podemos cancelar el sistema de configuración BitLocker pulsando en el botón Cancelar. Una vez se ha iniciado el proceso, no vamos a poder cancelarlo.

Cifrar unidad interna de datos

El método para cifrar la unidad de datos con BitLocker en Windows, ya que la idea es poder utilizarlo en diferentes equipos. Este método es el que debemos utilizar cuando queremos cifrar un disco duro interno. Para iniciar el proceso, en el apartado Unidad de datos fijas, pulsamos en Activar BitLocker justo a la derecha de la unidad a cifrar.

En la siguiente ventana, Windows nos invitará a utilizar que método queremos utilizar para desbloquear la unidad. Por un lado, nos invita a utilizar una contraseña, contraseña que debe estar compuesta por mayúsculas, minúsculas, números, espacio y símbolos. La otra opción nos permite utilizar una tarjeta inteligente para desbloquear la unidad. En este ejemplo, vamos a utilizar el primer método. Una vez hemos introducido la contraseña a utilizar, pulsamos en Siguiente.

BitLocker cifrar unidad datos

A continuación, Windows nos informará de todas las opciones disponibles para guardar una copia de seguridad de la clave de recuperación. Estas opciones son:

  • Guardar en la cuenta de Microsoft
  • Guardar en una unidad flash USB
  • Guardar en un archivo
  • Imprimir la clave de recuperación

Al igual que en el método anterior, es recomendable utilizar la primera opción, Guardar en la cuenta de Microsoft para tenerla siempre a mano. Si no, utilizamos una cuenta de Microsoft asociada al equipo, esta opción no estará disponible, por lo que podemos utilizar cualquier de las otras opciones. Seleccionamos la que queremos utilizar, y pulsamos en Siguiente.

BitLocker cifrar unidad datos

En la siguiente ventana, nos invitará a seleccionar si solo queremos cifrar el espacio utilizado, ideal para equipos nuevos o si queremos cifrar toda la unidad, opción recomendable para equipos que ya se encuentra en uso. Si se trata de una unidad que todavía no tiene datos almacenados, debemos seleccionar la opción Cifrar solo el espacio en disco utilizado. Pero, si hablamos de una unidad que ya contiene información, la opción adecuada es Cifrar la unidad entera. Pulsamos en Siguiente después de elegir la opción que queremos utilizar.

BitLocker cifrar unidad datos

A continuación, debemos seleccionar si queremos utilizar el modo de cifrado que Windows introdujo con la versión 1511 de Windows 10, opción que debemos elegir si esa unidad de almacenamiento solo se va a conectar a equipos con una versión igual o superior a Windows 10 1511, Modo de cifrado nuevo, o si queremos que los datos también estén accesibles en versiones anteriores de Windows, Modo compatible. A continuación, pulsamos en Siguiente.

BitLocker cifrar unidad datos

A continuación, se mostrará una última pantalla en la que se nos informa de que estamos a punto de iniciar el proceso de cifrado de la unidad y que será necesaria una contraseña para poder desbloquear el acceso, que el tiempo necesario para realizar el proceso varía dependiendo del tamaño de la unidad y que, hasta que no finalice el proceso, los archivos no estará cifrados.

BitLocker cifrar unidad datos

Cifrar disco duro externo y unidades USB

BitLocker también nos permite cifrar unidades de disco duro externas o unidades USB que conectemos al equipo. De esta forma, si habitualmente transportamos con nosotros información que no queremos que esté al alcance de cualquier persona que tenga acceso a él, no podrá hacerlo sin la clave de recuperación.

El proceso para realizar el cifrado de un disco duro externo o unidades USB es el mismo que a la hora de cifrar unidades internas de almacenamiento. Sin embargo, Windows, utilizará una versión especial de BitLocker, versión denominada BitLocker To Go. Para iniciar el proceso de cifrado de una unidad externa o USB, desde el panel principal de cifrado de BitLocker, nos dirigimos al apartado Unidades de formato extraíbles: BitLocker To Go y pulsamos sobre la opción Activar BitLocker en la unidad correspondiente.

BitLocker To Go

El proceso para cifrar unidades externas es exactamente el mismo que el método para cifrar unidades de disco duro internas que hemos explicado en el apartado anterior. Lo primero que debemos hacer es seleccionar el método que vamos a utilizar.

BitLocker

Utilizar BitLocker en Windows 10 sin TPM

Si nuestro equipo no tiene un chip TPM o Windows no es capaz de reconocerlo, algo que desgraciadamente es bastante habitual, podemos utilizar BitLocker sin problemas. Por defecto, Windows está configurado para utilizar el chip TPM para realizar el proceso, por lo que, si este no lo tiene, no podemos realizar el proceso como hemos explicado en el apartado anterior.

BitLocker sin TPM

Sin leemos el contenido del mensaje que nos muestra al intentar activar BitLocker, comprobamos como si es posible utilizar esta funcionalidad, si, previamente, realizamos una modificación en la directiva de grupo de Windows. Para realizar este cambio, accedemos a este apartado introduciendo el término “gpedit.msc” en el cuadro de búsqueda de Windows sin las comillas.

A continuación, nos dirigimos a la ruta

Configuración del equipo / Plantillas administrativas / Componentes de Windows / Cifrado de unidad BitLocker / Unidades del sistema operativo. Dentro de este último directorio, pulsamos dos veces en Requerir autenticación adiciona al iniciar.

BitLocker sin TPM

En la parte superior, marcamos la casilla Habilitada, en nos aseguramos de que en la sección Opciones, está habilitada la casilla Permitir BitLocker sin un TPM compatible. Finalmente, pulsamos en Aplicar y, a continuación, en Aceptar. No hace falta reiniciar el equipo después de haber realizado los cambios. A partir de este momento, ya podemos realizar el proceso de cifrar unidades de almacenamiento de todo tipo desde nuestro PC con Windows 10 sin TPM.

BitLocker sin TPM

Cómo ajustar el cifrado y fuerza de BitLocker en Windows 10 y 11

BitLocker, por defecto, utiliza un algoritmo XTS-AES de 128 bits, más que suficiente para mantener protegidos con toda seguridad los archivos, sin embargo, si creemos que no nos aporta suficiente seguridad, podemos mejorar la fuerza de cifrado para incrementar aún más, la seguridad de nuestros datos.

Como hemos podido ver a lo largo del proceso de cifrado de unidades con BitLocker, Microsoft introdujo un nuevo método de cifrado de discos basado en el algoritmo XTS-AES, un cifrado que solo es compatible con equipos gestionados por Windows 10 en su versión 1511 o posterior. El algoritmo con el que también podemos cifrar unidades con BitLocker es XTS-CBC, un algoritmo que si es compatible con versiones anteriores de Windows. Ambos métodos están disponibles durante el proceso de creación, por lo que podemos utilizar uno u otro de forma dependiendo del equipo donde se vayan a conectar las unidades.

Por defecto, ambos algoritmos utilizan un cifrado de 128 bits. Dentro de las opciones de configuración de Windows, tenemos la posibilidad de cambiar la fuerza de este cifrado para que, en lugar de ser de 128 bits sea de 256 bits. Para modificar este parámetro, debemos acceder al editor de directivas de grupos de Windows, utilizando el comando “gpedit” (sin las comillas) en el cuadro de búsqueda de Windows.

Dentro de las directivas de grupo, accedemos al directorio Cifrado de unidad BitLocker, directorio situado en Configuración del equipo / Plantillas administrativas / Componentes de Windows. Dentro del directorio Cifrado de unidad BitLocker, pulsamos dos veces en Elegir método de cifrado e intensidad de cifrado de unidad (Windows 10 [versión 1511] o posteriores).

Fuerza cifrado BitLocker

A continuación, marcamos la casilla Habilitada y en la sección Opciones, pulsamos en cada uno de los métodos disponibles de cifrado para seleccionar XTS-AES de 256 bits, por defecto se muestra el algoritmo XTS-AES de 28 bits. Debemos realizar este cambio en las tres opciones que se muestran y que nos permite establecer el cifrado para unidades con sistema operativo, unidades de datos y unidades extraíbles.

Fuerza cifrado BitLocker

Si queremos maximizar la compatibilidad de todas las unidades que cifremos con BitLocker, debemos seleccionar la opción XTS-CBC de 256 bits. Si únicamente vamos a conectar esas unidades a versiones más recientes de Windows, es recomendable utilizar la opción XTS-AES de 256 bits.

Desactivar BitLocker en una unidad

Si queremos desactivar el BitLocker de cualquier unidad, ya sea de la unidad que gestiona el sistema operativo, de la unidad interna de datos o de un disco duro externo o unidad USB, el proceso es el mismo en todo ellos. Lo primero que debemos hacer es acceder al apartado Cifrado de unidad BitLocker y dirigirnos a la unidad donde queremos desactivar el cifrado y pulsar en Desbloquear unidad para, seguidamente, introducir la clave que hemos creado y que protege el acceso a su contenido.

Desactivar BitLocker en una unidad

Seguidamente, pulsamos en Desactivar BitLocker y Windows nos mostrará un mensaje donde nos informa que se va a descifrar la unidad, un proceso que puede durar más o menos tiempo dependiendo de la cantidad de datos que se encuentren almacenados en su interior. Para iniciar el proceso, pulsamos en Desactivar BitLocker.

Desactivar BitLocker en una unidad

A partir de este momento, todo el contenido de la unidad estará accesible sin ningún tipo de protección y cualquier persona que tenga acceso a él, no tendrá ninguna limitación de acceso y podrá hacer lo que quiera con sus datos.

Podemos desactivar BitLocker en cualquier equipo donde esté conectada la unidad, siempre y cuando sepamos la clave de cifrado.

Acceder a unidades protegidas con BitLocker

Acceder al contenido de las unidades protegidas con BitLocker es tan sencillo como conectarlas al equipo desde donde queremos acceder a su contenido. Seguidamente, abrimos el Explorador de archivos y veremos como se muestra la unidad conectada al equipo, unidad que incluye el icono de un candado, dándonos a entender que se trata de una unidad cifrada.

Acceder unidades BitLocker

Para acceder a su contenido, tan solo debemos pulsar dos veces sobre la unidad y, seguidamente, introducir la clave que protege el acceso a su contenido. Si queremos que el equipo desbloquee automáticamente el acceso a esta unidad cada vez que la conectemos al equipo, pulsamos en Más opciones y marcamos la casilla Desbloquear automáticamente en este equipo.

Desactivar BitLocker en una unidad

3 Comentarios