Configurar BitLocker en discos externos paso a paso

Si trabajas con discos duros externos o memorias USB llenos de información sensible, configurar BitLocker en discos externos es probablemente una de las mejores decisiones de seguridad que puedes tomar en Windows. Esta función de cifrado de Microsoft te permite proteger todo el contenido de una unidad de forma que, sin la contraseña o la clave de recuperación, esos datos sean totalmente inaccesibles.

Ahora bien, BitLocker y el cifrado de dispositivo de Windows tienen sus matices: no funciona igual en la unidad del sistema que en un disco externo, hay diferencias entre versiones de Windows, influye si tienes chip TPM o no, puede afectar algo al rendimiento (sobre todo en algunos SSD) y, además, hay alternativas cuando tu edición de Windows no incluye BitLocker. Vamos a ver, paso a paso y a fondo, todo lo que necesitas saber para cifrar discos externos sin liarla y sin perder datos.

BitLocker y cifrado de dispositivo: qué es cada cosa y en qué se diferencian

En Windows conviven dos conceptos que se parecen mucho pero no son exactamente lo mismo: cifrado de dispositivo y cifrado de unidad BitLocker. Entender esta diferencia te ayuda a saber qué puedes hacer con tus discos externos y qué no.

El llamado cifrado de dispositivo es una función que determinados equipos Windows traen activada por defecto. Cuando inicias un PC nuevo con una cuenta de Microsoft, de trabajo o educativa, el sistema puede activar automáticamente el cifrado del disco interno. La clave de recuperación se sube a esa cuenta sin que tengas que tocar nada. Con cuenta local, en cambio, normalmente no se activa solo.

La gran diferencia es que el cifrado de dispositivo está pensado para usuarios no avanzados y equipos que suelen venir con Windows Home, mientras que el BitLocker «clásico» (el completo, con todas las opciones) solo está disponible en ediciones Pro, Enterprise y Education. A nivel práctico, BitLocker te da mucho más control: puedes cifrar discos externos, pendrives, particiones adicionales y la unidad de sistema con distintos métodos y claves.

Si quieres saber por qué en tu PC no aparece la opción de cifrado de dispositivo, puedes abrir la herramienta «Información del sistema» como administrador y mirar el valor de Compatibilidad automática con cifrado de dispositivo. Ahí verás mensajes del tipo «cumple los requisitos», «el TPM no se puede usar», «WinRE no está configurado» o «el enlace PCR7 no es compatible», que te indican qué pieza falta para que se active automáticamente.

Cómo funciona BitLocker: contraseñas, claves y comportamiento de las unidades

BitLocker cifra las unidades completas, ya sean internas o externas. Al activar el cifrado, tendrás que definir una contraseña para desbloquear la unidad o usar otros protectores como claves de recuperación, tarjetas inteligentes o una llave USB. Esa contraseña es crítica: si la pierdes y tampoco guardaste correctamente la clave de recuperación, lo más probable es que el contenido sea irrecuperable.

Una vez cifrado un disco externo, el comportamiento es bastante cómodo: todo lo que copies a la unidad se cifra al vuelo y todo lo que leas se descifra automáticamente tras desbloquearla. No tienes que estar cifrando archivo por archivo ni tocando nada raro, lo hace Windows en segundo plano.

Si cifras la unidad donde está el sistema operativo, lo que cambia es el momento en que se te pide la contraseña o la autenticación: antes incluso de que arranque Windows. Si no introduces la clave correcta de BitLocker, el sistema no termina de iniciar. Después, ya haces login con tu usuario y contraseña de Windows como siempre; son dos procesos distintos.

Cuando hablamos de discos de datos internos o externos (sin sistema operativo), lo habitual es que, al arrancar Windows, veas la unidad con el icono de un candado. Al hacer doble clic sobre esa unidad, se te pedirá la contraseña de BitLocker. Una vez desbloqueada, podrás trabajar con ella con normalidad hasta que la vuelvas a bloquear o apagues el equipo.

Algoritmos, intensidad de cifrado y su impacto en el rendimiento

BitLocker puede trabajar con varios algoritmos de cifrado y longitudes de clave. De fábrica, en discos internos modernos usa XTS-AES con clave de 128 bits, mientras que en unidades extraíbles y USB suele utilizar AES-CBC, también a 128 bits, por compatibilidad con versiones antiguas de Windows.

XTS-AES es un modo más reciente y optimizado: proporciona mayor seguridad frente a ciertas manipulaciones de bloques y suele ser más rápido. AES-CBC sigue siendo seguro si usas contraseñas fuertes, pero es un poco menos eficiente y tiene más pegas criptográficas, por lo que se considera de transición.

En ediciones profesionales de Windows, puedes ir un paso más allá y, mediante directivas de grupo locales, ajustar tanto el algoritmo (XTS-AES o AES-CBC) como la longitud de la clave (128 o 256 bits). Desde un punto de vista práctico, 256 bits ofrece más margen de seguridad teórica, y en equipos modernos la diferencia de rendimiento es mínima, sobre todo si el procesador soporta AES-NI.

No obstante, no todo son ventajas. En algunos SSD NVMe de alta gama se ha comprobado que, cuando BitLocker funciona en modo completamente por software, las lecturas/escrituras aleatorias pueden caer de forma apreciable. Por ejemplo, en una Samsung 990 Pro de 4 TB se han observado caídas de hasta el 45 % en ciertas pruebas con BitLocker activo.

En esos casos extremos, las opciones pasan por desactivar BitLocker (sacrificando seguridad) o bien configurar el SSD para usar cifrado basado en hardware, o valorar medidas para activar la caché de escritura en discos externos y acelerar transferencias, lo que suele implicar reinstalar Windows y asegurarse de que la unidad está configurada correctamente desde el principio. Para la mayoría de usuarios, eso sí, el impacto será casi imperceptible.

Qué es una directiva de grupo y cómo cambiar el método de cifrado

Las directivas de grupo en Windows son una forma avanzada de ajustar el comportamiento del sistema operativo tanto a nivel de equipo como de usuario. En un entorno doméstico, hablamos de directivas de grupo locales, que se editan con la utilidad gpedit.msc en las ediciones Pro, Enterprise y similares.

Para adaptar el algoritmo e intensidad del cifrado de BitLocker, hay que abrir el editor de directivas (Win + R, escribir gpedit.msc) y navegar por la ruta: Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker. Ahí verás varias directivas específicas según la versión de Windows.

Encontrarás políticas separadas para versiones antiguas y para Windows 10 y posteriores. En las más recientes, se permite escoger un algoritmo distinto para discos internos de arranque, discos internos de datos y unidades extraíbles/USB. En cada una podrás seleccionar XTS-AES o AES-CBC, así como 128 o 256 bits, y si quieres aplicar o no difusor adicional en sistemas antiguos.

Ten en cuenta que estos cambios solo se aplican a discos que cifres a partir de ese momento. Las unidades ya cifradas seguirán con la configuración que tenían cuando se cifraron. Además, las directivas solo surten efecto si coinciden con la versión real de Windows instalada.

Una vez modifiques lo que necesites, conviene forzar la actualización de directivas para no esperar el intervalo estándar (unos 90 minutos). Para ello, abre Ejecutar (Win + R) y lanza el comando gpupdate /target:Computer /force. Con eso se aplican al instante los cambios y ya puedes cifrar nuevas unidades con la configuración elegida.

Cómo activar BitLocker en discos internos y externos desde la interfaz gráfica

Windows ofrece varias vías gráficas para poner en marcha BitLocker sin necesidad de tocar comandos. En todas ellas, lo importante es que la unidad esté formateada y con letra asignada, de lo contrario no aparecerá como cifrable.

La ruta más directa es a través del Explorador de archivos: haz clic derecho sobre el disco interno o externo que quieras proteger y selecciona «Activar BitLocker». Esto abre el asistente donde elegirás la contraseña de desbloqueo, cómo guardar la clave de recuperación y el tipo de cifrado.

Otra forma es mediante el Panel de control clásico. Desde el menú de inicio, abre Panel de control > Sistema y seguridad > Cifrado de unidad BitLocker. Verás una lista agrupada de unidades: disco del sistema, discos de datos, y más abajo los dispositivos extraíbles, donde entra en juego BitLocker To Go para memorias USB y discos externos.

Desde la app de Configuración (sobre todo en Windows 10/11) también puedes llegar. Entra en Sistema > Acerca de y, en la parte inferior, deberías ver un enlace a Configuración de BitLocker, que te lleva al mismo panel de administración.

Al iniciar el asistente sobre una unidad concreta, el primer paso será definir la contraseña de desbloqueo. Conviene que incluya mayúsculas, minúsculas, números y símbolos. Después tendrás que decidir cómo guardar la clave de recuperación (cuenta Microsoft, fichero, USB, impresión) y si vas a cifrar solo el espacio utilizado o el disco completo, algo especialmente relevante si el disco externo ya tiene datos antiguos eliminados que podrían recuperarse.

Cifrado de discos externos y BitLocker To Go

Para unidades externas (discos USB, pendrives, etc.) Windows usa un modo específico llamado BitLocker To Go. A efectos prácticos, la interfaz es casi idéntica, pero por dentro se ajusta el algoritmo por defecto para maximizar compatibilidad con otros equipos Windows que no estén totalmente actualizados.

El procedimiento es muy sencillo: conectas el disco externo, esperas a que aparezca en el Explorador, haces clic derecho sobre la unidad y eliges «Activar BitLocker». El asistente te pedirá que establezcas la contraseña de desbloqueo, y después te propondrá hacer copia de seguridad de la clave de recuperación.

Al conectar más tarde esa unidad en otro PC Windows compatible, el sistema detectará que está cifrada y mostrará un cuadro para introducir la contraseña. Puedes marcar la casilla para que en ese equipo concreto se desbloquee automáticamente en el futuro, algo muy útil si es un PC de confianza.

En la configuración avanzada de la unidad ya cifrada, tendrás opciones como cambiar la contraseña, quitarla (siempre que configures otro método de autenticación), generar nuevas copias de la clave de recuperación, habilitar el desbloqueo automático o desactivar completamente BitLocker para descifrar el disco.

Si sigues usando sistemas muy antiguos como Windows XP o Vista, estos no reconocen de forma nativa las unidades BitLocker To Go. En ese caso, Microsoft llegó a ofrecer una herramienta llamada «BitLocker To Go Reader» que permitía al menos acceso de solo lectura a memorias USB cifradas con formato FAT, siempre que se introdujera la clave correcta.

TPM: el chip que refuerza BitLocker (y cómo usarlo sin TPM)

El módulo TPM (Trusted Platform Module) es un pequeño chip de la placa base pensado para almacenar claves criptográficas y comprobar la integridad del arranque. Cuando se combina con BitLocker, parte de la clave de cifrado se guarda en el TPM y otra parte en el disco, de forma que un atacante no pueda simplemente mover el disco a otro equipo y leerlo.

El TPM también ayuda a detectar cambios sospechosos en el hardware o en el firmware. Si, por ejemplo, actualizas la BIOS, cambias piezas críticas o manipulas ciertos parámetros de arranque, el TPM puede considerar que el entorno ya no es de confianza y obligará a introducir la clave de recuperación de BitLocker en el siguiente arranque.

No todo son ventajas: al ser un componente físico, si el chip TPM se estropea o lo cambias sin tener tus claves de recuperación a salvo, puedes quedarte sin acceso a los datos cifrados. Además, no todos los sistemas ni programas aprovechan TPM correctamente, y siempre existe la posibilidad de fallos de implementación, bugs o vulnerabilidades.

Para comprobar si tu equipo tiene TPM activo, puedes pulsar Win + R y ejecutar tpm.msc. Si se abre la consola de administración y ves un estado del tipo «TPM listo para usarse», vas bien. Si aparece un error indicando que no se encuentra TPM compatible, puede que esté desactivado en la BIOS/UEFI o que tu placa directamente no lo tenga.

Aun así, BitLocker no exige TPM como requisito obligatorio. Es posible usar BitLocker sin TPM activando una directiva en gpedit.msc que permite requerir autenticación adicional al inicio y habilitar su uso sin módulo TPM. En esos casos, el protector principal puede ser una contraseña o una clave almacenada en una USB que deberás tener conectada para arrancar.

Uso de BitLocker con y sin TPM en la unidad de sistema

Cifrar el disco donde está instalado el sistema operativo es un paso de seguridad muy potente, pero requiere algunas consideraciones extra. BitLocker crea una pequeña partición sin cifrar de arranque donde almacena los ficheros necesarios para iniciar el sistema, y la partición principal del sistema se mantiene cifrada hasta que se valida la autenticación.

Si dispones de TPM, el flujo perfecto es combinarlo con un PIN o una contraseña adicional en modo «TPM + PIN» para reforzar el arranque. De esa forma, aunque te roben el equipo completo, necesitarán tanto el hardware como la clave que conoces tú. Windows gestiona esta combinación de forma relativamente transparente.

Cuando no existe TPM o no quieres usarlo, debes recurrir a la directiva «Requerir autenticación adicional al iniciar» en las unidades del sistema operativo dentro del editor de directivas de grupo. Habilitando la opción de permitir BitLocker sin TPM, el asistente dejará que uses una contraseña al arranque o una memoria USB que contenga un fichero con la clave de desbloqueo.

En este escenario, el propio asistente te pedirá que inserte una unidad flash USB para guardar la clave de inicio, o que definas una contraseña compleja. Esa memoria USB no se puede retirar mientras dure el proceso de cifrado ni durante los reinicios iniciales. Además es buena idea ajustar el orden de arranque en BIOS para que el equipo no intente arrancar de la propia memoria que contiene la clave.

Una vez completado el cifrado y comprobado que el sistema arranca bien, conviene guardar copias de esa clave de arranque (y de la clave de recuperación) en un lugar muy seguro: otro dispositivo cifrado, un gestor de contraseñas o, si lo utilizas, tu cuenta de Microsoft/OneDrive.

BitLocker y redes: comportamiento de discos externos cifrados

Un detalle que suele generar dudas es cómo se comporta un disco externo cifrado con BitLocker cuando se comparte por red. Es importante entender que BitLocker protege contra el acceso físico directo al dispositivo, no actúa como sistema de autenticación en la red.

Esto significa que no puedes, por ejemplo, introducir la contraseña de BitLocker desde otro equipo remoto para desbloquear el disco. Lo primero es desbloquear la unidad en el equipo al que está físicamente conectada. Después, ya puedes compartir carpetas o todo el volumen mediante las opciones de uso compartido de archivos de Windows.

Una vez compartido, los usuarios de la red accederán a los datos con las credenciales habituales de Windows (usuario/contraseña de red, permisos NTFS y de compartición, etc.), pero el cifrado de BitLocker corre a cargo del equipo que tiene el disco conectado. Si ese equipo se apaga o bloquea la unidad, el recurso deja de estar disponible.

Claves de recuperación y copias de seguridad: tu red de seguridad

Cada vez que cifras una unidad con BitLocker, el asistente genera una clave de recuperación de 48 dígitos. Es tu salvavidas cuando olvidas la contraseña habitual o cuando, por cambios de hardware o firmware, el sistema decide que debe pedir esa clave extra en el arranque.

Windows te ofrece varias formas de guardar esa clave: en tu cuenta Microsoft (se almacena en tu perfil de OneDrive), en una memoria USB sin cifrar, en un archivo de texto o directamente impresa en papel. Lo ideal es combinar al menos dos métodos y no dejar nunca la única copia de la clave en el propio disco que estás cifrando.

Si cifras varias unidades, cada archivo de clave de recuperación lleva un identificador en el nombre (un GUID) que coincide con el que se te muestra cuando el sistema te pide esa clave. Es importante respetar esa relación para saber qué fichero corresponde a qué unidad en caso de emergencia.

Más allá de BitLocker, la única estrategia sólida frente a fallos de hardware, corrupción o despistes es mantener copias de seguridad completas en dispositivos separados. Si además esas copias se almacenan en otro disco cifrado o en un servicio en la nube que también cifra los datos, tendrás un nivel de protección muy alto frente a pérdidas o robos.

Recuerda que si una unidad cifrada sufre un daño físico, incluso aunque consigas recuperar sectores aislados con técnicas forenses, sin las claves adecuadas esos datos seguirán encriptados y no serán legibles. Por eso la combinación cifrado + backup redundante es tan importante.

PowerShell y cmdlets para gestionar BitLocker de forma avanzada

Además de la interfaz gráfica y la utilidad de consola manage-bde, Windows incluye cmdlets de PowerShell específicos para BitLocker, muy útiles cuando quieres automatizar tareas o gestionar muchas unidades a la vez y medir I/O de disco por proceso.

El comando básico para ver el estado de las unidades es Get-BitLockerVolume, que admite el parámetro -MountPoint para especificar una unidad concreta. Añadiendo «| fl» al final, obtienes una salida detallada con todos los protectores configurados, el estado de cifrado, porcentaje completado, etc.

Para añadir distintos tipos de protectores (contraseña, clave de recuperación, contraseña de recuperación o clave de arranque), se usa Add-BitLockerKeyProtector con los parámetros adecuados para cada caso (por ejemplo, -PasswordProtector, -RecoveryKeyPath, -StartupKeyProtector…). De esta forma, puedes preparar una unidad con todos sus métodos de desbloqueo antes de activar el cifrado.

El cmdlet que arranca realmente el cifrado es Enable-BitLocker, al que le pasas la unidad (-MountPoint) y los protectores que quieres aplicar en ese momento. Para detener o reanudar el cifrado, bloquear o desbloquear manualmente un volumen, dispones de comandos como Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock o Disable-BitLockerAutoUnlock.

Por último, si en algún momento decides descifrar totalmente un disco y quitar BitLocker, usarás Disable-BitLocker. El proceso puede tardar un buen rato según el tamaño de la unidad y la velocidad del hardware, pero cuando termine, el volumen volverá a estar en texto plano y sin protectores asociados.

Problemas habituales con BitLocker y cómo resolverlos

Aunque es una tecnología bastante estable, BitLocker no está exento de pequeños sustos. Uno de los más comunes es que, tras una actualización de BIOS, un cambio de hardware o variar algo en la configuración de arranque, el sistema empiece a pedir la clave de recuperación en cada inicio.

La forma habitual de corregirlo es arrancar una vez introduciendo la clave de recuperación, y después desactivar temporalmente los protectores con manage-bde (por ejemplo, manage-bde -protectors -disable C:), hacer los cambios necesarios y volver a habilitarlos con manage-bde -protectors -enable C:. Así «reseteas» la confianza del TPM respecto al estado actual de la máquina.

También es frecuente ver un triángulo amarillo sobre la unidad en el Explorador o en el administrador de dispositivos, indicando que BitLocker está suspendido o que hay cambios pendientes tras una actualización. En esos casos, normalmente basta con ir a la configuración de BitLocker de la unidad afectada y reanudar la protección, o bien usar manage-bde -resume C: en una consola con permisos de administrador.

Si los mensajes de error apuntan a problemas con el TPM (desde tpm.msc o el administrador de dispositivos), conviene revisar en BIOS/UEFI que el TPM/Intel PTT/AMD fTPM esté activado, actualizar el firmware y, si es necesario, borrar el TPM desde su consola de administración (lo que regenerará las claves asociadas y requerirá volver a configurar BitLocker).

Más allá de estos casos típicos, la clave es no activar cifrado a la ligera: siempre conviene asegurarse de tener copias de seguridad actuales y varias copias de las claves de recuperación antes de hacer cambios profundos en hardware o firmware.

Alternativas a BitLocker para cifrar discos externos

No todos los equipos tienen una edición de Windows compatible con BitLocker, y no siempre compensa actualizar solo por esa funcionalidad. En esas situaciones, puedes recurrir a otras herramientas de cifrado para proteger discos externos y pendrives.

Una de las más populares es VeraCrypt, un proyecto gratuito y de código abierto que permite cifrar discos enteros, particiones sueltas o contenedores (ficheros que actúan como discos virtuales cifrados). Soporta algoritmos como AES, Serpent o Twofish y modos modernos como XTS, siendo muy flexible y multiplataforma.

Otra opción son programas centrados en cifrar carpetas concretas, como Anvi Folder Locker o Hook Folder Locker. Su enfoque es diferente: en lugar de cifrar toda la unidad, seleccionas directorios concretos, les asignas una contraseña maestra y el programa se encarga de bloquear o desbloquear el acceso según lo necesites.

Si prefieres seguir dentro del ecosistema Windows sin BitLocker, también existe EFS (Encrypted File System), que te deja cifrar archivos y carpetas asociados a un usuario concreto. Es rápido y relativamente cómodo, pero no es tan robusto ni tan independiente del sistema como BitLocker: la clave se guarda en el propio sistema operativo, puede haber restos de información en cachés o sectores temporales, y si alguien accede a tu sesión Windows, ve los datos en claro.

Por todo ello, cuando tienes opción, lo más recomendable para cifrar discos externos es seguir apostando por BitLocker o, en su defecto, VeraCrypt. EFS y utilidades de carpeta están bien como refuerzo puntual, pero no sustituyen al cifrado completo de unidad cuando lo que quieres proteger es un disco entero.

En conjunto, contar con un buen esquema de cifrado en tus discos externos, combinarlo con copias de seguridad regulares y entender bien cómo funcionan las claves de recuperación te permite manejar información sensible con mucha más tranquilidad tanto en tu día a día como cuando sacas físicamente esos dispositivos fuera de casa u oficina.