Cómo cifrar el contenido de un pendrive desde Windows

Proteger lo que llevamos en una memoria USB ya no es una opción rara para paranoicos de la seguridad: hoy en día, cualquiera que mueva documentos de trabajo, fotos personales o información bancaria en un pendrive debería plantearse cifrarlo. Son dispositivos pequeños, fáciles de perder u olvidar en cualquier sitio, y basta con que acaben en manos ajenas para que toda esa información quede expuesta.

Ahora bien, en el momento en que conviertes tu USB en una unidad cifrada y protegida con contraseña, asumes también una responsabilidad extra como usuario. No basta con activar BitLocker o una herramienta similar y ya está: hay que gestionar bien la contraseña, guardar la clave de recuperación y entender que, si la pierdes, probablemente perderás también los datos. La tecnología simplifica mucho el proceso, pero el eslabón débil sigue siendo el humano.

Qué significa cifrar un pendrive y qué implica para ti

Cuando hablamos de cifrar un USB, en realidad estamos diciendo que vamos a transformar su contenido de forma que solo sea legible para quien tenga la clave correcta. El sistema operativo seguirá viendo la unidad, pero sin la contraseña o la clave adecuada los archivos se muestran como datos incomprensibles.

En Windows y en otras plataformas se usan algoritmos muy potentes, como AES con claves de 128 o 256 bits, que hoy por hoy son considerados seguros incluso a nivel corporativo. Eso significa que no hay “atajos mágicos” para romper el cifrado: si pierdes contraseña y clave de recuperación, lo normal es que la información se dé por perdida.

Este nivel de seguridad tiene varias consecuencias prácticas: por un lado, te permite transportar archivos sensibles sin ir con el corazón en un puño si el USB se extravía. Por otro, te obliga a tener un mínimo protocolo personal: no reutilizar contraseñas débiles, no apuntarlas en un post-it pegado al monitor y guardar las claves de recuperación en lugares seguros.

Además, cifrar todo el pendrive (y no solo algunos archivos) hace que no tengas que acordarte de qué carpetas protegiste y cuáles no. El sistema operativo trabaja de forma transparente: tú ves tus documentos como siempre, pero por debajo todo se guarda cifrado.

Cifrado nativo en Windows: BitLocker y “Cifrado de dispositivo”

En el ecosistema de Microsoft hay dos grandes formas de cifrado integradas: el clásico BitLocker y una función más automatizada llamada Cifrado de dispositivo. Ambas buscan lo mismo (proteger tus datos), pero se ofrecen en ediciones diferentes de Windows y actúan de forma distinta.

BitLocker está disponible en Windows 10 Pro, Windows 11 Pro y ediciones Enterprise/Education. Permite cifrar discos internos, discos externos y memorias USB, y ofrece un control bastante fino sobre contraseñas, claves de recuperación y modos de cifrado.

El Cifrado de dispositivo, en cambio, aparece en muchos equipos con Windows Home y otras ediciones, y suele estar ligado al hardware del equipo (TPM, arranque seguro, etc.). Está pensado para que un usuario normal tenga sus unidades protegidas casi sin tocar nada, simplemente iniciando sesión con su cuenta de Microsoft o corporativa.

Lo ideal antes de lanzarte a encriptar un pendrive es comprobar si tu Windows ofrece cifrado nativo sencillo desde Configuración. Si tu equipo no cumple los requisitos, siempre podrás recurrir a BitLocker (si tu edición lo soporta) o a programas de terceros.

Cómo cifrar un pendrive con BitLocker en Windows

Si tienes una edición compatible de Windows, BitLocker es probablemente la forma más directa de poner contraseña a un USB sin instalar nada adicional. El proceso es guiado y el sistema se encarga de casi todo.

Primero, conecta el pendrive a un puerto USB libre y espera a que aparezca en el Explorador de archivos, normalmente como una unidad más en “Este equipo”. Desde ahí tienes dos caminos: usar el menú contextual de la unidad o acceder a la configuración de BitLocker desde el Panel de control.

La ruta más cómoda suele ser hacer clic derecho sobre la unidad USB y elegir “Activar BitLocker”. Se abrirá un asistente que comprobara si el dispositivo es compatible y, si todo está correcto, te propondrá distintos métodos de desbloqueo.

En un pendrive, lo habitual es optar por “Usar una contraseña para desbloquear la unidad”. Tendrás que escribir la contraseña dos veces para evitar errores tipográficos. A continuación, Windows te informará de que va a generar una clave de recuperación de 48 dígitos, imprescindible si un día olvidas esa contraseña.

En este punto se te ofrecerán varias opciones para guardar esa clave de recuperación: en tu cuenta de Microsoft, en un archivo de texto o impresa en papel. La recomendación más práctica suele ser almacenarla en la cuenta de Microsoft y, si los datos son muy sensibles, guardar también una copia en papel en un lugar seguro.

Tras esto, BitLocker te preguntará qué parte de la unidad quieres cifrar. Puedes elegir entre cifrar solo los sectores ocupados o cifrar todo el pendrive. La segunda opción es más lenta, pero más limpia, porque también protege el espacio que ahora parece vacío pero que podría contener restos recuperables de archivos antiguos.

Después tendrás que escoger el modo de cifrado. El modo nuevo (XTS-AES) da algo más de seguridad pero se orienta sobre todo a unidades que se van a usar en ese mismo equipo o en sistemas relativamente modernos. Para un pendrive que quieras llevar de un PC a otro, lo más prudente suele ser optar por el “modo compatible”, para maximizar la compatibilidad con otras versiones de Windows.

Antes de empezar a trabajar, el asistente mostrará un resumen con todas las opciones que has elegido. Si todo está correcto, pulsa en “Iniciar cifrado”. El tiempo que tarde dependerá de la capacidad del USB, de la velocidad del puerto y de si has seleccionado cifrar solo el espacio usado o la unidad completa.

Cuando termine, cada vez que conectes esa memoria a un ordenador con Windows verás que el sistema pedirá la contraseña antes de permitir el acceso. Si en algún momento dejas de necesitar esta protección, podrás desactivar BitLocker y descifrar la unidad desde el mismo menú de “Administrar BitLocker”.

“Cifrado de dispositivo” en Windows: qué es y cómo se activa

Además de BitLocker, muchos portátiles y equipos modernos llevan habilitada la función de Cifrado de dispositivo, que se apoya en el TPM (Módulo de plataforma segura) y otros requisitos de seguridad del hardware. Esta opción suele proteger automáticamente la unidad del sistema y los discos fijos.

Cuando inicias por primera vez un dispositivo compatible y entras con una cuenta de Microsoft, profesional o educativa, Windows puede activar el cifrado sin que tengas que tocar nada. La clave de recuperación se vincula a esa cuenta, de forma que puedes recuperarla más adelante si hiciera falta.

Para revisar si tienes esta opción disponible, entra en la app de Configuración de Windows, ve a “Actualización y seguridad” y luego a “Cifrado de dispositivo”. Si aparece, bastará con usar el interruptor para activarlo. Si no la ves, tu equipo probablemente no cumple alguno de los requisitos.

Si quieres comprobar exactamente qué falta, puedes abrir “Información del sistema” con permisos de administrador y buscar el campo “Compatibilidad con cifrado de dispositivo”. Ahí verás mensajes tipo “Cumple los requisitos previos” (todo correcto), “El TPM no se puede usar”, “WinRE no está configurado” o “El enlace PCR7 no es compatible”, que te indicarán qué obstáculo está impidiendo activar esta característica.

Cómo cifrar un USB con VeraCrypt paso a paso

Si tu versión de Windows no trae BitLocker (por ejemplo, Windows 10 Home) o quieres algo multiplataforma que funcione igual en Windows, macOS y Linux, una de las alternativas más sólidas es VeraCrypt. Es una aplicación gratuita, de código abierto y con muy buena reputación en el mundo de la seguridad.

Lo primero es descargar VeraCrypt desde su web oficial, instalarlo en tu ordenador y, si lo prefieres, poner la interfaz en español. Lo puedes hacer desde el menú “Settings > Language”, eligiendo “Español” en la lista.

Antes de empezar a cifrar el pendrive, conviene que hagas copia de todo lo que tengas dentro o lo dejes completamente vacío, porque en el proceso se formateará el espacio que se vaya a usar para el contenedor cifrado.

La forma más cómoda de trabajar con un USB en VeraCrypt es crear un contenedor cifrado dentro de la propia memoria. Es como tener un archivo especial que, cuando lo montas con VeraCrypt, aparece como una unidad más del sistema.

En el programa, pulsa en Crear volumen. Se abrirá un asistente en el que seleccionarás “Crear un contenedor de archivos cifrado”. Después, marca la opción “Volumen VeraCrypt común” (el modo estándar) y pulsa “Siguiente”.

En el paso de ubicación, elige la unidad correspondiente a tu pendrive y escribe un nombre de archivo fácil de reconocer (por ejemplo, “datos_seguridad.hc”). Ese será el archivo del contenedor cifrado que residirá en el USB.

A continuación, llegas a la configuración del cifrado. El algoritmo AES suele ser la opción recomendada para uso doméstico, suficiente y muy seguro. Puedes dejar los ajustes por defecto salvo que tengas necesidades muy específicas.

Luego verás la pantalla de “Tamaño del volumen”, donde decidirás qué parte de la memoria USB se va a dedicar al contenedor cifrado. Puedes usar todo el espacio disponible o solo una porción, en función de lo que planees guardar.

El siguiente paso es crucial: tendrás que definir una contraseña robusta para ese volumen. Es muy recomendable usar más de 12 caracteres, mezclando mayúsculas, minúsculas, números y símbolos. Si quieres elevar aún más la seguridad, marca la casilla de usar archivo-llave (keyfile), que actúa como segundo factor.

En caso de usar archivo-llave, VeraCrypt te dejará seleccionar cualquier fichero (una foto, un MP3, etc.) o generar uno aleatorio moviendo el ratón dentro de una ventana durante unos segundos. Ese archivo debe guardarse con cuidado, porque sin él el contenedor no se podrá abrir, aunque recuerdes la contraseña.

Como último detalle, el asistente te preguntará si vas a guardar archivos de más de 4 GB en el contenedor. Esto tiene que ver con el sistema de archivos que se va a usar internamente. Confirma lo que necesites, pulsa “Siguiente” y luego “Formatear” para que comience la creación del volumen.

Al finalizar, VeraCrypt mostrará un mensaje de éxito y podrás cerrar el asistente. A partir de ese momento, cada vez que quieras usar el contenedor cifrado del pendrive, tendrás que montar ese archivo desde VeraCrypt, introducir la contraseña (y el archivo-llave, si lo configuraste) y se te presentará como una unidad adicional en tu sistema, lista para usar como cualquier otra carpeta.

BitLocker y sistemas de archivos: exFAT, NTFS y compatibilidad

Un aspecto que mucha gente pasa por alto es el tipo de sistema de archivos que usa la memoria USB. No es lo mismo formatearla en NTFS (el formato típico de Windows) que en exFAT o FAT32 si vas a moverla entre varios sistemas.

Si solo vas a usar el pendrive en Windows, NTFS funciona bien, pero no es la opción más portable. macOS y muchas distribuciones Linux pueden leer NTFS, pero a menudo necesitan controladores adicionales para escribir sin problemas, y no siempre hay soporte oficial.

Para memorias USB que quieras compartir entre Windows, Linux y macOS, lo más práctico suele ser formatearlas en exFAT. Este sistema de archivos permite manejar archivos de más de 4 GB (limitación clásica del FAT32) y es reconocido por los principales sistemas operativos sin demasiadas complicaciones.

BitLocker puede trabajar con unidades formateadas en exFAT, de modo que puedes tener un pendrive cifrado y, aun así, compatible con otros sistemas siempre que dispongan de las herramientas adecuadas para montar volúmenes BitLocker. Aun así, si la idea es compartirlo mucho fuera del mundo Windows, quizá te interese más una solución tipo VeraCrypt.

Cifrar USB en macOS y Linux con herramientas nativas

Aunque el foco principal aquí es Windows, no está de más saber que macOS y Linux también ponen las cosas fáciles si quieres proteger un pendrive sin recurrir a software adicional.

En macOS, la función estrella es FileVault, que cifra el disco interno del Mac, pero cuando hablamos de unidades externas puedes usar tanto FileVault como la propia Utilidad de Discos para crear volúmenes protegidos. Si conectas una memoria formateada y haces clic derecho sobre su icono en el escritorio, verás la opción “Encriptar” que te permite asignar una contraseña a ese USB prácticamente con un par de pasos.

Si quieres algo más avanzado, desde “Utilidad de Discos” puedes seleccionar el dispositivo, usar la opción “Borrar” y elegir un formato que incluya la palabra “encriptado”, junto con el esquema de particiones adecuado (por ejemplo, Mapa de particiones GUID). En ese punto introduces la contraseña y el sistema se encargará del formateo y del cifrado.

En Linux, muchas distribuciones modernas permiten, desde el gestor de discos o el explorador de archivos, formatear un volumen con cifrado LUKS de forma muy parecida: seleccionas la unidad, eliges “Formatear volumen”, marcas la opción “Cifrado” (normalmente LUKS + ext4) y durante el proceso se te pedirá la contraseña.

En estos casos, el sistema sobrescribe los datos existentes, así que conviene guardar primero lo importante. El formateo cifrado suele ser algo más lento, precisamente porque aplica un encriptado seguro a toda la unidad, pero a cambio te ofrece un pendrive listo para trabajar de forma muy transparente en ese entorno.

Otras herramientas para cifrar y proteger pendrives

Más allá de BitLocker y VeraCrypt, existe toda una gama de programas pensados para cifrar memorias USB y controlar su uso en distintos escenarios, desde el usuario doméstico hasta la empresa.

Una de las alternativas más conocidas en Windows es RoHos Mini Drive. Esta herramienta crea una partición cifrada dentro de la unidad USB, de forma que se comporta como un disco normal cuando la montas, pero el resto del contenido permanece fuera del alcance sin la contraseña.

RoHos Mini Drive se presenta en varias piezas: la aplicación de escritorio para crear la partición cifrada, un ejecutable portátil que viaja en el propio USB y permite montar la partición en otros PC (normalmente con privilegios de administrador) y Rohos Disk Browser, que actúa como un explorador cifrado portátil capaz de abrir esa partición sin necesidad de instalar nada en el equipo anfitrión.

Otra utilidad popular es USB Safeguard, que se centra en cifrar el contenido del pendrive con encriptación de 256 bits. Su interfaz es sencilla, sin alardes, pero cumple muy bien su función. Eso sí, la versión gratuita suele limitar la capacidad máxima de la unidad a unos pocos gigas, y si necesitas más tendrás que pasar por la versión de pago o buscar otra alternativa.

En el ámbito profesional, destaca Endpoint Protector, una solución pensada para empresas que quieren controlar y auditar el uso de USB y otros puertos en sus equipos. No solo puede cifrar unidades y bloquear dispositivos no autorizados, sino que también ofrece protección “content aware”, es decir, analiza qué tipo de información se mueve (por ejemplo, a través de Outlook, Skype o Dropbox) para evitar fugas de datos.

Si prefieres algo sencillo para cifrar archivos sueltos, AES Crypt es otra opción gratuita, multiplataforma y de código abierto. Utiliza AES-256 y se integra bien con Windows, macOS y Linux. Eso sí, no cifra el pendrive entero: protege archivo a archivo, lo cual puede ser útil si solo quieres blindar unos cuantos documentos concretos sin tocar el resto del contenido.

Pendrive cifrado por hardware: alternativa física con PIN

Si no quieres depender del software del ordenador ni pelearte con configuraciones, existe una categoría de dispositivos muy interesante: las memorias USB con cifrado por hardware y teclado integrado. Funcionan como un pendrive normal, pero incorporan un pequeño keypad numérico para introducir un PIN antes de que la unidad se presente al sistema.

Un buen ejemplo es la familia Kingston IronKey Keypad 200, que ofrece modelos de distintas capacidades y un nivel de seguridad certificado (por ejemplo, FIPS 140-3 nivel 3) con cifrado XTS-AES de 256 bits a nivel de hardware. Mientras no se introduzca el PIN correcto, el pendrive es básicamente un ladrillo que el PC ni siquiera monta como unidad accesible.

La ventaja es que puedes usarlo en cualquier sistema operativo, sin instalar nada: conectas, marcas tu PIN y listo. Además, estos dispositivos suelen incorporar opciones como modo solo lectura (ideal para conectarlos a ordenadores “sospechosos” sin miedo a malware) y mecanismos de borrado seguro si detectan demasiados intentos fallidos.

El principal inconveniente, como podrás imaginar, es el precio. Estos pendrives no son especialmente baratos y se reservan normalmente para entornos donde la seguridad y la comodidad de uso pesan más que el coste, como profesionales que viajan mucho o empresas que manejan datos sensibles.

Olvidar la contraseña de un USB cifrado: qué se puede hacer

Uno de los grandes miedos cuando protegemos algo con contraseña es olvidarla y quedarnos fuera. En el caso de los USB cifrados, lo que puedes hacer o no depende mucho de la herramienta que hayas utilizado para el cifrado.

Si usas BitLocker, la vía oficial y prácticamente única es recurrir a la clave de recuperación de 48 dígitos que se generó durante el proceso de cifrado. Esa clave puede estar vinculada a tu cuenta de Microsoft, guardada en un archivo de texto, impresa en papel o almacenada en servicios corporativos como Active Directory o Azure AD.

Si no recuerdas dónde la guardaste, puedes buscarla entrando en tu cuenta de Microsoft desde otro dispositivo, localizando el archivo de texto donde la almacenaste o revisando archivos impresos en casa. En entornos de empresa, normalmente se pide ayuda al administrador de sistemas, que puede recuperar la clave desde Active Directory u otras consolas de gestión.

En otros escenarios, como cuando lo que está protegido no es realmente un cifrado sino permisos de NTFS, puede bastar con entrar como administrador del sistema, revisar la pestaña de “Seguridad” de la unidad y modificar los permisos para tu usuario, marcando “Control total” y “Escritura” en los permisos para usuarios autenticados.

También hay casos en los que la unidad no está cifrada de verdad, sino simplemente marcada como “protegida contra escritura” en el Registro de Windows. Ahí se puede intentar cambiar el valor de la clave “WriteProtect” en la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies, ajustando el valor de 1 a 0 y reiniciando el equipo para volver a escribir en el USB.

Sin embargo, cuando el cifrado es real (BitLocker, VeraCrypt, LUKS, etc.) y has perdido tanto la contraseña como las claves de recuperación o archivos-llave, la realidad es dura: no suele haber métodos milagrosos. La seguridad se basa precisamente en que nadie pueda saltarse esas protecciones, ni siquiera el propio fabricante.