- BitLocker To Go cifra memorias USB y discos externos, exigiendo contraseña o clave de recuperación para acceder a los datos.
- Su configuración puede centralizarse con directivas de grupo, imponiendo algoritmos, contraseñas y guardado de claves en Active Directory.
- El uso de TPM y PowerShell permite una administración avanzada de BitLocker, tanto en unidades internas como extraíbles.
- BitLocker ofrece mayor protección que EFS y se puede complementar con herramientas como VeraCrypt según el escenario.
Si trabajas con discos externos, pendrives o tarjetas SD, la probabilidad de que uno acabe perdido o en manos ajenas es más alta de lo que nos gustaría. Y ahí es donde entra en juego BitLocker To Go, la solución de Microsoft para que, aunque pierdas el dispositivo, nadie pueda leer ni un solo byte sin tu contraseña o clave de recuperación.
A lo largo de esta guía vas a ver, con mucho más detalle del habitual, qué es exactamente BitLocker To Go, cómo se configura en Windows, cómo se administra con directivas de grupo, qué hacer si pierdes la contraseña y qué alternativas tienes si quieres ir un paso más allá con el cifrado. Vamos a cubrir también el BitLocker “normal”, el papel del chip TPM, el impacto en el rendimiento y varios trucos avanzados con PowerShell para que controles la herramienta como si fueras del departamento de IT.
Qué es BitLocker y qué añade BitLocker To Go
BitLocker es la función de cifrado de unidades incluida en Windows en las ediciones Pro, Enterprise y Education (desde Windows Vista en adelante). Su misión es proteger todo el contenido de un disco (incluido el sistema operativo) para que nadie pueda leer los datos sin la clave adecuada, aunque arranquen el equipo desde otro sistema o conecten el disco a otro ordenador.
En el caso de los dispositivos administrados en empresas, lo habitual es que el cifrado con BitLocker esté controlado de forma centralizada por el departamento de TI. Muchas organizaciones incluso obligan a cifrar determinados discos o todos los portátiles mediante políticas de grupo, sin que el usuario pueda decidir.
Desde el Panel de control puedes acceder al módulo de Cifrado de unidad BitLocker, donde Windows te muestra todas las unidades con letra asignada: la unidad del sistema operativo, las unidades de datos internas y las unidades extraíbles, que son las que nos interesan para BitLocker To Go.
BitLocker To Go es la variante de BitLocker pensada específicamente para medios extraíbles: memorias USB, tarjetas SD y discos duros externos con sistemas de archivos NTFS, FAT16, FAT32 o exFAT. Su objetivo es simple: que, si alguien encuentra o roba tu pendrive, sólo vea una unidad bloqueada y no pueda leer nada sin la contraseña, una tarjeta inteligente o la clave de recuperación.
Diferencias entre BitLocker y BitLocker To Go
Aunque comparten la misma base tecnológica, BitLocker y BitLocker To Go tienen enfoques ligeramente distintos. BitLocker se centra en el cifrado de la unidad del sistema y otros discos internos, mientras que BitLocker To Go está orientado a unidades removibles que enchufas y desenchufas con frecuencia.
En el cifrado de la unidad del sistema, BitLocker puede combinarse con TPM, PIN de arranque, contraseñas y claves almacenadas en USB para asegurar el arranque del equipo. Nada más encender, antes incluso de que cargue Windows, el sistema verifica la integridad y exige la autenticación definida, o el sistema no arranca.
Cuando cifras una partición de datos interna o un disco que no es de arranque, BitLocker te pedirá la contraseña al hacer doble clic en la unidad. Sin introducción de la clave, el contenido sigue cifrado, independientemente de los permisos NTFS que lleven las carpetas o los usuarios de Windows.
BitLocker To Go, por su parte, se centra en el uso práctico de unidades USB cifradas que puedas llevar contigo. Conecta el pendrive en un equipo con Windows compatible, escribe la contraseña o usa tu tarjeta inteligente y la unidad se monta descifrada. Cuando copias archivos a ese pendrive, se cifran al vuelo; cuando los copias fuera, se descifran automáticamente.
En equipos antiguos como Windows XP o algunas ediciones de Vista, que no entienden de forma nativa BitLocker To Go, Microsoft ofrece el lector BitLocker To Go, una pequeña utilidad que permite abrir en modo sólo lectura unidades FAT protegidas por BitLocker, para que al menos puedas recuperar información.
Versiones de Windows compatibles y requisitos
BitLocker y BitLocker To Go están disponibles en las ediciones Pro, Enterprise y Education de Windows. No los encontrarás en las versiones Home, donde tendrás que recurrir a herramientas de terceros como VeraCrypt si quieres cifrar discos enteros.
En Windows 7, 8, 8.1, 10 y 11, las opciones de configuración y los algoritmos disponibles pueden variar un poco según la versión concreta. A partir de Windows 10 versión 1511 se introdujo la posibilidad de elegir métodos de cifrado distintos para unidades de arranque, de datos internas y unidades extraíbles desde directivas de grupo.
Muchos equipos integran un chip TPM (Trusted Platform Module) en la placa base, que refuerza la seguridad de BitLocker generando y almacenando parte de las claves de forma segura en hardware. Para verlo, puedes abrir el Administrador de dispositivos y comprobar si aparece un dispositivo de “Seguridad” TPM, o ejecutar tpm.msc con Windows + R.
Si tu equipo no tiene TPM, no estás perdido: puedes configurar, mediante directivas de grupo, que BitLocker funcione sin TPM y use contraseñas o una memoria USB con la clave de arranque. Simplemente hay que habilitar la opción “Requerir autenticación adicional al iniciar” y marcar “Permitir BitLocker sin un TPM compatible”.
En cuanto al rendimiento, en la mayoría de equipos modernos con soporte de cifrado por hardware AES-NI, el impacto es bastante moderado. No obstante, si notas transferencia lenta en USB, se han observado caídas importantes de rendimiento en algunos SSD concretos (por ejemplo, reducciones notables en lectura aleatoria en determinadas unidades de gama alta) cuando BitLocker se ejecuta sólo por software en lugar de apoyarse en el cifrado por hardware del propio SSD.
Cómo acceder y activar BitLocker To Go en Windows
Para gestionar BitLocker y BitLocker To Go desde la interfaz gráfica, lo más cómodo es ir al Panel de control > Sistema y seguridad > Cifrado de unidad BitLocker. Allí verás agrupadas las unidades en: unidad del sistema operativo, unidades de datos fijas y unidades de datos extraíbles (BitLocker To Go).
Otra forma rápida de llegar es utilizando el buscador de Windows. Con tu cuenta con permisos de administrador iniciada, abre el menú Inicio, escribe “BitLocker” y selecciona “Administrar BitLocker”. Esto te lleva al mismo applet del Panel de control, donde aparecerán todas las unidades con su estado de cifrado.
En las unidades donde todavía no está activo, verás la opción “Activar BitLocker”. Al pulsarla sobre una unidad extraíble, se abre el asistente de BitLocker To Go, que te preguntará primero cómo quieres desbloquear la unidad.
En unidades USB y discos externos, puedes optar por una contraseña de desbloqueo o por el uso de una tarjeta inteligente. La contraseña debe ser robusta, combinando mayúsculas, minúsculas, cifras y símbolos; Windows exigirá un mínimo de longitud y, en entornos corporativos, la política puede ser más estricta.
Antes de comenzar el cifrado, el asistente te pedirá que elijas cómo guardar la clave de recuperación, el salvavidas que necesitarás si olvidas la contraseña. Tienes varias posibilidades: cuenta Microsoft (se sube a OneDrive), unidad flash USB no cifrada, archivo de texto o impresión en papel. Microsoft recomienda, para equipos domésticos, vincularla a tu cuenta de Microsoft o, al menos, guardarla en un sitio que no esté cifrado con la propia unidad.
Opciones de cifrado: espacio usado, disco completo y algoritmos
Cuando inicias el cifrado de una unidad, BitLocker te pregunta si quieres cifrar sólo el espacio utilizado o todo el disco. Cifrar sólo lo usado es mucho más rápido, ideal para discos nuevos o recién formateados; pero en discos con historial, los datos borrados pueden seguir en sectores libres y podrían recuperarse si alguien accede a ellos sin cifrar.
Para unidades que han tenido ya contenido, la opción más segura es cifrar todo el disco, aunque tarde más. De este modo, incluso la información que estaba borrada queda protegida. En discos pequeños (pendrives o SSD de capacidad moderada), ese tiempo extra suele ser asumible.
En cuanto a algoritmos, por defecto Windows utiliza XTS-AES con clave de 128 bits para discos internos y AES-CBC con clave de 128 bits para unidades externas y memorias USB. XTS-AES es más moderno, se considera más robusto en determinados escenarios y suele ofrecer un rendimiento superior.
Si quieres subir el listón de seguridad, a través del editor de directivas de grupo locales (gpedit.msc) puedes indicar el uso de claves de 256 bits tanto para XTS-AES como para AES-CBC. Esto incrementa teóricamente la resistencia frente a ataques de fuerza bruta, a cambio de consumir algo más de recursos, aunque en equipos actuales el impacto es reducido.
Microsoft proporciona varias directivas llamadas “Elegir método de cifrado e intensidad de cifrado de unidad para…” que permiten definir, por separado, el algoritmo y la longitud de clave para unidades de sistema, unidades de datos internas y unidades extraíbles, adaptándolo al sistema operativo y su versión.
Administrar BitLocker To Go con directivas de grupo en empresas
En entornos corporativos no tiene sentido que cada usuario decida si cifra o no su pendrive, cómo guarda las claves o qué algoritmo usa. Para evitar este caos, se recurre a las políticas de grupo (GPO), desde las que el administrador impone la configuración de BitLocker To Go y automatiza el almacenamiento de claves de recuperación en Active Directory.
Las políticas específicas para unidades extraíbles están en: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades de datos extraíbles. Desde ahí se puede, por ejemplo, bloquear la escritura en pendrives que no estén cifrados con BitLocker.
La directiva clave en este sentido es “Denegar el acceso de escritura a las unidades extraíbles no protegidas por BitLocker”. Si la habilitas, cualquier USB sin cifrar se montará sólo en modo lectura, y Windows avisará de que hace falta activar BitLocker para poder guardar datos.
El asistente que se abre al iniciar el cifrado puede personalizarse para que muestre menos opciones al usuario. Por ejemplo, se puede predefinir que siempre se cifre sólo el espacio usado o todo el disco, o escoger un algoritmo concreto, desde las GPO “Enforce drive encryption type on removable data drives” y “Elegir método de unidad de cifrado y fuerza de cifrado”.
En cuanto a la gestión de claves de recuperación, es habitual configurar “Elegir cómo se pueden recuperar las unidades extraíbles protegidas por BitLocker” y forzar que éstas se almacenen automáticamente en Active Directory. Si se marca además “Omitir opciones de recuperación del asistente de configuración de BitLocker”, los usuarios no podrán guardarlas por su cuenta en archivos o impresiones.
Control de identidades de organización e imposición de contraseñas
Otro aspecto interesante es la capacidad de marcar las unidades USB cifradas con el identificador de la organización, a través de la directiva “Proporcionar los identificadores únicos para su organización”. Cada unidad cifrada se etiqueta con ese ID, que puede ser una cadena de hasta 260 caracteres.
Combinando ese identificador con la opción “No permitir el acceso de escritura a dispositivos configurados en otra organización” (incluida dentro de la misma categoría de directivas de BitLocker To Go), puedes impedir que los usuarios sigan utilizando pendrives que cifraron por su cuenta antes de implantar la política corporativa, o que no cumplen el estándar interno.
La directiva “Configurar el uso de contraseñas para unidades de datos extraíbles” sirve para ajustar la complejidad mínima de las contraseñas de BitLocker To Go: longitud, mezcla de tipos de caracteres, etc. Normalmente, estas reglas se coordinan con la política global de contraseñas del dominio para mantener un nivel de seguridad uniforme.
Si además deshabilitas “Permitir a los usuarios suspender y descifrar la protección de BitLocker en unidades de datos extraíbles”, consigues que nadie pueda quitar el cifrado de un USB corporativo por su cuenta; sólo los administradores, desde su consola, tendrían esa capacidad.
Toda esta configuración centralizada garantiza que el cifrado de unidades portátiles no dependa de la buena voluntad de cada empleado, sino de una política de seguridad coherente y aplicable en toda la organización, reduciendo muchísimo el riesgo de fugas de información por pendrives perdidos.
TPM, seguridad de arranque y uso de BitLocker sin TPM
El TPM (Trusted Platform Module) es un pequeño criptochip integrado en muchas placas base modernas que refuerza notablemente la seguridad de BitLocker, sobre todo cuando se cifra la unidad de arranque. Genera y almacena parte de las claves de cifrado y verifica que el entorno de arranque no ha sido manipulado.
Entre sus funciones clave está el cifrado de datos y la protección frente a malware de arranque. El TPM crea un par de claves (pública y privada), se queda con parte de la privada y comprueba, durante el inicio, que el gestor de arranque y otros componentes críticos no han sido alterados. Si detecta algo sospechoso, puede impedir el arranque normal.
El chip también puede activar un modo de cuarentena cuando detecta un posible compromiso, permitiendo que se intente reparar el sistema antes de arrancar de manera habitual. Además, sirve como almacén seguro para certificados, contraseñas y claves de cifrado, mucho más resistente que guardarlas en ficheros del disco.
No todo son ventajas: el uso de TPM implica cierta dependencia del hardware, lo que significa que un fallo del chip puede volver inaccesibles los datos cifrados si no se han previsto copias de seguridad y claves de recuperación. Además, no todos los sistemas y aplicaciones son plenamente compatibles, y la gestión puede ser compleja para usuarios sin experiencia.
Si tu equipo carece de TPM o quieres cifrar igualmente la unidad de sistema, puedes recurrir al truco de habilitar la directiva “Requerir autenticación adicional al iniciar” y marcar la casilla de permitir BitLocker sin TPM. En ese caso, el arranque se asegura mediante USB con clave de arranque o contraseña de prearranque, que tendrás que introducir cada vez que enciendas el equipo.
Gestión avanzada de BitLocker con PowerShell
Además de las herramientas gráficas, Windows pone a tu disposición una serie de cmdlets de PowerShell para gestionar BitLocker y BitLocker To Go con mucha más flexibilidad, ideal para automatizar tareas, escribir scripts o administrar decenas de equipos a la vez.
PowerShell es una consola y entorno de scripting muy potente que sustituye a los antiguos .bat de MS-DOS. Desde ella puedes revisar el estado de las unidades, activar el cifrado, añadir o quitar protectores, bloquear o desbloquear discos y desactivar BitLocker, todo a base de comandos bien definidos.
Para ver el estado de una unidad concreta, se usa el cmdlet Get-BitLockerVolume, que acepta el parámetro MountPoint (por ejemplo, F:). Si le añades un “| fl” al final, obtienes una lista detallada con los protectores configurados, el porcentaje cifrado, el estado de bloqueo, etc.
La gestión de protectores (contraseñas, claves de recuperación, claves de arranque) se realiza con Add-BitLockerKeyProtector. Puedes añadir un protector de contraseña, uno de clave de recuperación (que se guarda como archivo en una ruta especificada), un protector de contraseña de recuperación con 48 dígitos o una clave de arranque que va en una memoria USB.
Una vez que has configurado los protectores deseados, el cifrado se inicia mediante Enable-BitLocker, indicando la unidad con MountPoint y el tipo de protector a usar. El sistema empezará a cifrar el disco y mostrará (o puedes forzar con fvenotify.exe) un cuadro con el progreso del proceso.
Cuando quieras bloquear, desbloquear o configurar el auto-desbloqueo de una unidad cifrada, tienes a tu disposición Lock-BitLocker, Unlock-BitLocker, Enable-BitLockerAutoUnlock y Disable-BitLockerAutoUnlock. Unlock-BitLocker permite elegir con qué protector quieres abrir la unidad: contraseña normal, contraseña de recuperación o archivo con clave de recuperación.
Desactivar y descifrar una unidad que ya no quieres proteger pasa por usar Disable-BitLocker. Al ejecutarlo, la unidad se va descifrando gradualmente hasta quedar en texto claro, y de nuevo puedes seguir el progreso mediante el cuadro de notificación si lanzas fvenotify.exe.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.