- EFSDump permite auditar el acceso a archivos cifrados con EFS fácilmente desde la línea de comandos.
- Es una herramienta ligera, directa y compatible con versiones modernas de Windows, ideal para profesionales que gestionan seguridad en entornos NTFS.
- Integra potentes opciones para revisar permisos de usuarios y agentes de recuperación vinculados a archivos protegidos.
En este artículo te voy a contar en detalle qué es EFSDump, para qué se utiliza, cómo funciona internamente y cuándo te puede salvar la vida en administración de sistemas. Bien seas profesional de IT, te dediques a la seguridad o simplemente eres un usuario avanzado que quiere entender hasta el último detalle del control de accesos en EFS, aquí tienes la guía más completa y práctica en español, integrando toda la información relevante de fuentes técnicas y aportando consejos claros y estructurados. Prepárate para dominar esta herramienta y tomar el control real de la protección de tus datos en Windows.
¿Qué es EFSDump y para qué sirve?
EFSDump es una pequeña utilidad de línea de comandos desarrollada por Sysinternals, ahora parte de Microsoft, que nació con un objetivo muy simple: mostrar de manera inmediata y automatizada la lista de cuentas (usuarios y agentes de recuperación) que pueden acceder a archivos cifrados mediante EFS en volúmenes NTFS. Antes de la llegada de EFSDump, si querías auditar permisos EFS en varios archivos o directorios, debías lidiar con el Explorador de Windows y navegar uno a uno por las fichas de propiedades avanzadas de cada fichero, un proceso manual, tedioso y enormemente propenso a errores cuando se trata de grandes volúmenes de información.
Gracias a EFSDump puedes hacer esto de forma rápida y masiva directamente desde la consola, filtrando por nombres, extensiones o incluso aplicando caracteres comodín en las rutas. Es, en esencia, una solución precisa y directa para cualquier tarea de revisión o auditoría de accesos a ficheros cifrados en entornos corporativos o personales.
- Descargar desde el portal oficial de Microsoft Sysinternals. Es gratuito y la descarga ocupa menos de 200 KB.
Contexto: EFS en Windows y su problemática
Desde Windows 2000 se introdujo el Sistema de cifrado de archivos (EFS) en NTFS, permitiendo a los usuarios proteger información sensible de miradas ajenas. El funcionamiento interno de EFS es bastante meticuloso: cada archivo cifrado integra en su encabezado lo que podríamos llamar «campos secretos» (DDF y DRF), donde se almacenan los claves de cifrado de archivo (FEK) protegidas mediante criptografía de clave pública por cada usuario autorizado, y los campos de recuperación asociados a los agentes de recuperación designados por políticas de la empresa.
Eso significa que puede haber más de un usuario y más de un agente con acceso efectivo a cada archivo cifrado. No es suficiente con que un fichero esté «en verde» o que tú seas el propietario: un administrador puede, sin saberlo, estar concediendo acceso a otros usuarios o servicios por error o descuido. Aquí es donde EFSDump se convierte en el aliado ideal al permitir listar rápidamente todos los permisos efectivos asociados a cada fichero cifrado.
¿Qué información proporciona EFSDump?
Cuando ejecutas EFSDump sobre un archivo o un conjunto de ellos, obtienes una lista clara de todos los usuarios, cuentas de servicio y agentes de recuperación asociados al cifrado de ese archivo. Internamente, la utilidad extrae datos usando la API específica QueryUsersOnEncryptedFile, que es la que realmente «lee entre líneas» los metadatos de encabezado NTFS para descubrir quién puede desencriptar el contenido.
Por tanto, la herramienta te presenta información como:
- Usuarios con acceso directo al archivo cifrado (quienes lo han cifrado originalmente o a los que se les ha concedido acceso adicional)
- Agentes de recuperación predefinidos (configurados en la política local de seguridad o por el administrador de sistemas)
- Identidad de cada cuenta (nombre y, cuando es relevante, el identificador de seguridad o SID)
Esto permite tanto a administradores de sistemas como a usuarios avanzados detectar configuraciones erróneas, accesos no deseados o posibles vulnerabilidades antes de que sea tarde.
Características principales de EFSDump
- Ligero y portable: No necesita instalación, simplemente se descarga y ejecuta directamente desde la consola.
- Compatible con versiones modernas de Windows: Puede utilizarse desde Windows Vista y Server 2008 en adelante.
- Permite examinar directorios completos de manera recursiva: Gracias a su parámetro -s, puedes auditar estructuras enteras de carpetas y subcarpetas sin repetir comandos.
- Soporte para comodines: Facilita la selección de archivos por extensión (por ejemplo, todos los .docx cifrados de una carpeta).
- Salida limpia y fácilmente interpretable: Muestra las cuentas, los SIDs y los agentes de recuperación de forma ordenada para poder documentar auditorías o informes.
- Modo silencioso: El parámetro -q suprime mensajes de error o advertencias, útil para integrar EFSDump en scripts automatizados.
Sintaxis y parámetros de EFSDump
El uso de EFSDump es bastante directo pero, como toda herramienta de consola, conviene dominar bien su sintaxis para sacarle todo el provecho.
Formato general del comando:
efsdump <archivo o directorio>- -s: Le dice a EFSDump que procese todos los archivos en subdirectorios de forma recursiva.
- -q: Suprime la impresión de errores (modo silencioso), ideal para scripts masivos o cuando no queremos que la consola se llene de mensajes repetitivos.
- <archivo o directorio>: Puedes indicar tanto el nombre de un fichero concreto, como el de una carpeta (para auditar todos los ficheros dentro) o bien un patrón con comodines.
Ejemplos prácticos:
- Para listar los usuarios que pueden acceder a todos los .docx cifrados de tu carpeta de documentos:
efsdump C:\Users\MiUsuario\Documents\*.docx - Para auditar toda una carpeta y sus subcarpetas:
efsdump -s C:\DataCifrada - Para lanzar el comando sin mensajes de error, ideal para scripting:
efsdump -q -s C:\CarpetaSegura
Funcionamiento interno y estructuras NTFS
EFSDump trabaja directamente sobre archivos alojados en particiones NTFS, aprovechando los campos internos del encabezado de cada fichero cifrado.
En NTFS, cada archivo protegido por EFS incorpora dos estructuras clave:
- DDF (Data Decryption Fields): Almacenan claves de cifrado de archivos, encriptadas con la clave pública de cada usuario autorizado. Aquí está la lista real de personas que pueden acceder directamente al contenido, sin contar con la clave del sistema.
- DRF (Data Recovery Fields): Incluyen claves FEK encriptadas, pero esta vez con la clave pública de los agentes de recuperación, es decir, cuentas predeterminadas por el administrador para situaciones de emergencia o recuperación de datos.
Compatibilidad y requisitos de EFSDump
La herramienta fue creada por Mark Russinovich, uno de los desarrolladores más conocidos del mundo Windows y fundador de Sysinternals. Aunque originalmente pensada para Windows 2000, la utilidad sigue siendo perfectamente válida en entornos mucho más recientes:
- Clientes: Funciona en Windows Vista y posteriores, incluyendo versiones actuales como Windows 10 y 11.
- Servidores: Es compatible desde Windows Server 2008 y superiores.
No requiere instalación, no modifica el registro ni deja trazas en el sistema: basta con descomprimir el ejecutable y abrir una ventana de comandos con permisos de lectura sobre los archivos que quieras auditar. Para entender otras herramientas de análisis, también puedes revisar cómo usar Windbg.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.