- EFS cifra archivos y carpetas NTFS vinculándolos al usuario mediante una combinación de criptografía simétrica y asimétrica.
- La seguridad real de EFS depende de la protección de la cuenta, del certificado EFS y de realizar copias de seguridad de la clave.
- EFS complementa, pero no sustituye, a cifrados de unidad completa como BitLocker o soluciones tipo VeraCrypt.
El cifrado EFS (Encrypting File System) es una de esas funciones de Windows que mucha gente tiene delante de las narices y apenas usa. Sin embargo, cuando se trabaja con datos sensibles en un equipo compartido o en red, por ejemplo al montar unidades de red como discos locales, puede marcar la diferencia entre mantener tu información a salvo o dejarla totalmente expuesta.
Con EFS puedes proteger archivos y carpetas individuales de forma rápida y bastante transparente. Está pensado para volúmenes NTFS y se vincula al usuario, no al equipo. Eso significa que varios usuarios de un mismo ordenador o de una red pueden cifrar sus propios datos al mismo tiempo, evitando que otros accedan a ellos aunque tengan permisos sobre la carpeta compartida.
Qué es exactamente EFS y en qué se diferencia de otros cifrados
Encrypting File System es la tecnología de cifrado de archivos integrada en las versiones profesionales de Windows (como Windows 10 Pro) para proteger datos almacenados en unidades con sistema de archivos NTFS. Su objetivo es impedir que usuarios o aplicaciones sin la clave adecuada puedan leer el contenido de los archivos, incluso si se copian a otro equipo.
A diferencia de herramientas como BitLocker o VeraCrypt, que se enfocan en cifrar unidades completas o contenedores, EFS se orienta a proteger archivos y carpetas concretos dentro de un volumen NTFS. Esto permite un control más granular: puedes cifrar solo lo realmente sensible y dejar el resto sin protección adicional.
Una particularidad clave es que EFS está asociado a la cuenta de usuario. Mientras inicias sesión con ese usuario, el acceso a los datos cifrados es transparente: abres, editas y guardas los archivos como siempre, sin introducir contraseñas extra. Si otro usuario del sistema o alguien que roba el disco intenta acceder a esos archivos sin la clave adecuada, verá datos ininteligibles o recibirá errores de acceso.
Este comportamiento hace que EFS sea muy cómodo para el día a día, pero también implica que, si un atacante consigue acceder a tu cuenta de usuario (por ejemplo, con tu contraseña o aprovechando una sesión desbloqueada), podrá abrir los archivos cifrados sin ningún obstáculo. Es un punto importante a tener en cuenta cuando lo compares con soluciones como BitLocker, que protegen frente a otros tipos de ataques.
Cómo funciona EFS por dentro: esquema de cifrado
El corazón de EFS se basa en una combinación de criptografía simétrica y asimétrica. Esta mezcla busca equilibrar rendimiento y seguridad, aprovechando lo mejor de cada enfoque.
Para cifrar el contenido de los archivos se usa un algoritmo simétrico, históricamente DESX, una variante reforzada del clásico DES (Data Encryption Standard). Este tipo de algoritmos son muy rápidos y adecuados para manejar grandes volúmenes de datos, algo fundamental cuando se cifran archivos de cierto tamaño o muchas carpetas a la vez.
En EFS, cada archivo o carpeta cifrada se protege con una clave simétrica específica llamada FEK (File Encryption Key). Esta clave es la que realmente se utiliza para transformar los datos legibles en datos cifrados dentro del archivo. La FEK se genera de forma aleatoria cuando decides cifrar un elemento.
El problema de las claves simétricas es cómo almacenarlas y protegerlas. Para resolverlo, EFS combina este esquema con criptografía de clave pública (asimétrica), utilizando el algoritmo RSA. En lugar de guardar la FEK en claro, Windows la cifra con la clave pública asociada al certificado EFS del usuario y luego almacena ese resultado en el encabezado del archivo o carpeta.
De esta forma, la FEK cifrada queda incrustada junto con los metadatos del archivo. Solo la cuenta de usuario que posee la clave privada RSA correspondiente (o un agente de recuperación autorizado) puede descifrar esa FEK, recuperar la clave simétrica y, a partir de ahí, leer los datos del archivo. Así se combina la rapidez del cifrado simétrico con la seguridad del cifrado asimétrico para gestionar claves.
El motivo de usar dos algoritmos es que los algoritmos asimétricos son mucho más lentos que los simétricos, aproximadamente del orden de miles de veces. No tendría sentido cifrar gigas de datos con RSA. Por eso se emplea RSA únicamente para proteger la FEK (una clave pequeña) y se reserva el algoritmo simétrico rápido para el contenido real de los archivos.
Ventajas y limitaciones del cifrado EFS
Una de las cosas que más llama la atención al probar EFS es que el cifrado es totalmente transparente para el usuario autorizado. En cuanto cifras un archivo o carpeta, mientras inicies sesión con la cuenta que lo cifró, podrás abrir, modificar y guardar esos archivos igual que cualquier otro.
Entre las principales ventajas de EFS se encuentra que no necesitas recordar contraseñas adicionales para cada archivo. El sistema se apoya en el certificado y la clave privada de tu usuario, integrándose con el propio inicio de sesión de Windows. Para ti todo parece “normal”; el cifrado ocurre en segundo plano, a nivel del sistema de archivos.
Otro punto a favor es que, una vez que marcas un archivo o carpeta como cifrado, Windows mantiene esa condición automáticamente. No tienes que acordarte de volver a cifrar el archivo cada vez que lo modifiques: cada operación de lectura o escritura pasa por el motor de EFS, que cifra y descifra sobre la marcha.
Este enfoque resulta especialmente interesante en entornos empresariales. Configurando bien los permisos y las políticas de recuperación, es posible que los datos cifrados sigan siendo accesibles para la organización aunque un empleado abandone la empresa, mediante agentes de recuperación o certificados de empresa configurados para tal fin.
Ahora bien, EFS también tiene debilidades que conviene conocer. La primera es que la seguridad depende en gran medida de la cuenta de usuario. Si alguien consigue acceder a tu sesión (porque dejaste el equipo sin bloquear o porque robaron tu contraseña), podrá abrir sin problema los archivos cifrados con EFS, ya que el descifrado se hace de forma automática al trabajar bajo esa cuenta.
Además, la clave de cifrado se almacena en el propio sistema operativo, no en un chip TPM del hardware como ocurre con BitLocker. Esto facilita a un atacante con suficientes conocimientos y acceso al sistema la posibilidad de extraer esa clave y descifrar los archivos.
También hay que tener en cuenta que el contenido de los archivos cifrados puede dejar rastros en archivos temporales o en la memoria, por ejemplo a través de archivos temporales de Windows o copias intermedias. Por tanto, aunque EFS añade una capa de protección muy útil, no es una solución mágica frente a cualquier ataque imaginable. Para minimizar riesgos conviene borrar datos de forma segura y gestionar archivos temporales.
Por todas estas razones, suele recomendarse combinar EFS con otros mecanismos como BitLocker (para cifrar unidades completas, incluidas las del sistema) o herramientas de terceros tipo VeraCrypt para contenedores cifrados, especialmente si manejas información extremadamente sensible o si el equipo es portátil y puede ser robado; además, conviene saber cómo localizar y bloquear un portátil robado.
También hay que tener en cuenta que el contenido de los archivos cifrados puede dejar rastros en archivos temporales o en la memoria, por ejemplo a través de archivos temporales de Windows o copias intermedias. Por tanto, aunque EFS añade una capa de protección muy útil, no es una solución mágica frente a cualquier ataque imaginable.
Por todas estas razones, suele recomendarse combinar EFS con otros mecanismos como BitLocker (para cifrar unidades completas, incluidas las del sistema) o herramientas de terceros tipo VeraCrypt para contenedores cifrados, especialmente si manejas información extremadamente sensible o si el equipo es portátil y puede ser robado.
Requisitos y activación de EFS en Windows 10
Para poder usar EFS necesitas, en primer lugar, contar con una edición de Windows que lo soporte. Normalmente está disponible en Windows 10 Pro y ediciones superiores. En ediciones Home, esta funcionalidad suele estar limitada o deshabilitada.
Si al intentar cifrar un archivo ves que la opción “Cifrar contenido para proteger datos” aparece atenuada (en gris) en la ventana de propiedades avanzadas, es muy probable que el cifrado de archivos NTFS esté deshabilitado a nivel de sistema. En ese caso, antes de nada hay que comprobar la configuración correspondiente.
Un paso básico consiste en revisar que el servicio de Windows llamado Encrypting File System (EFS) esté en ejecución y configurado para iniciarse de forma automática. Sin este servicio activo, la funcionalidad de cifrado no puede operar correctamente sobre los volúmenes NTFS.
Además, existe una clave de registro que controla si el cifrado NTFS está o no permitido. Para comprobarlo puedes inspeccionar atributos y cifrado de archivos y, en el Editor del Registro (regedit), debes navegar hasta la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem y localizar el valor DWORD llamado NtfsDisableEncryption.
Si NtfsDisableEncryption está establecido a 1, significa que el cifrado de archivos NTFS está desactivado. Para habilitarlo, hay que editar ese valor y cambiarlo a 0, aceptar, cerrar el Editor del Registro y reiniciar el equipo. Tras el reinicio, la opción de cifrado en las propiedades de los archivos debería estar disponible.
En algunos casos puede merecer la pena ejecutar un chequeo del sistema operativo si sospechas que hay archivos dañados o problemas internos que afecten a EFS. Para ello, abre una consola de comandos (cmd) como administrador y ejecuta, uno por uno, comandos como sfc /scannow y varias órdenes DISM, por ejemplo:
- sfc /scannow
- DISM.exe /Online /Cleanup-image /Scanhealth
- Dism.exe /Online /Cleanup-Image /CheckHealth
- DISM.exe /Online /Cleanup-image /Restorehealth
- Dism.exe /Online /Cleanup-Image /StartComponentCleanup
Tras completarlos y reiniciar el equipo, es recomendable verificar si el cifrado de archivos NTFS funciona con normalidad y si ya puedes marcar archivos y carpetas para protegerlos.
Cómo cifrar archivos y carpetas con EFS paso a paso
El proceso práctico para cifrar un archivo o carpeta con EFS en Windows 10 es bastante simple y no requiere instalar nada adicional; también puedes usar el comando cipher.exe para gestionar el cifrado desde la línea de comandos. Lo primero es tener claro qué archivo o carpeta quieres proteger, idealmente contenidos sensibles como documentos personales, informes de trabajo o bases de datos internas.
Abre el Explorador de archivos y navega hasta el elemento que quieras cifrar. Haz clic derecho sobre el archivo o carpeta y selecciona la opción “Propiedades” en el menú contextual. Se abrirá la ventana de propiedades, normalmente en la pestaña “General”.
Dentro de la pestaña General, pulsa en el botón “Opciones avanzadas…”. En la nueva ventana que aparece verás una sección dedicada a atributos de compresión o cifrado. Marca la casilla que pone “Cifrar contenido para proteger datos” y confirma con Aceptar.
Al volver a la ventana de propiedades principal, pulsa en Aplicar. Si estás cifrando una carpeta que contiene subcarpetas y archivos, Windows te preguntará si quieres cifrar solo la carpeta raíz o también todos sus elementos internos. Escoge la opción que más te convenga (lo habitual es incluir también subcarpetas y archivos) y confirma con Aceptar.
Una vez completado el proceso, los archivos cifrados suelen mostrar algún tipo de indicador visual (por ejemplo, un icono de candado o un cambio de color en el nombre) dependiendo de la configuración y la versión de Windows. A partir de ese momento, solo tu cuenta (y las autorizadas explícitamente) podrán acceder a esos datos en claro.
Cada vez que abras uno de esos archivos como usuario autorizado, el cifrado y descifrado se llevará a cabo de forma automática. Para cualquier otro usuario del sistema o para alguien que copie el archivo cifrado a otro equipo sin el certificado adecuado, el contenido permanecerá ilegible.
Crear y guardar la copia de seguridad de la clave EFS
Un paso crítico que muchos usuarios pasan por alto es la copia de seguridad del certificado y la clave EFS. Si pierdes ese certificado (por ejemplo, por formatear el equipo sin exportarlo antes) y no hay un agente de recuperación configurado, podrías quedarte sin acceso a todos tus archivos cifrados.
Después de cifrar por primera vez con EFS, Windows suele mostrar una notificación en el área de la barra de tareas recomendando que realices una copia de seguridad de tu clave de cifrado. Haz clic en ese aviso para abrir el asistente correspondiente.
Lo más aconsejable es elegir la opción de “Hacer copia de seguridad ahora”. Esto iniciará el Asistente para exportar certificados, que te guiará paso a paso en la creación de un archivo con tu certificado EFS y su clave privada. Ese archivo será el que necesitarás en el futuro para restaurar el acceso a tus datos si algo sale mal.
Durante el asistente se te mostrará el formato en el que se va a generar la copia. Por defecto, Windows propone unas opciones de seguridad recomendadas que suelen ser adecuadas para la mayoría de usuarios, de modo que puedes avanzar sin cambiar nada si no tienes necesidades especiales.
A continuación tendrás que establecer una contraseña para proteger la exportación del certificado. Marca la casilla correspondiente, escribe una contraseña robusta y repítela para confirmarla. Puedes dejar el método de cifrado seleccionado por defecto o, si sabes lo que haces, escoger una alternativa.
El siguiente paso es elegir el nombre y la ubicación del archivo de copia de seguridad. Lo ideal es guardarlo en un dispositivo externo, como un pendrive USB de uso personal, que no compartas con otros usuarios. Selecciona la ruta con el botón Examinar, indica un nombre reconocible y pulsa Siguiente.
El asistente te mostrará un resumen de la operación. Si todo está correcto, haz clic en Finalizar. Si todo va bien, aparecerá un mensaje indicando que la exportación se ha completado con éxito. Comprueba que el archivo se ha creado en la ubicación elegida.
Es importante que este dispositivo con la copia de seguridad de tu clave EFS se guarde en un lugar seguro, lejos de accesos no autorizados y, a ser posible, con una segunda copia de respaldo en otra ubicación física. Recuerda que esta clave es la que te permite descifrar tus archivos: si la pierdes y no tienes ningún otro mecanismo de recuperación, los datos cifrados quedarán inaccesibles.
Deshabilitar o habilitar el cifrado NTFS y otros ajustes
Puede darse el caso de que en tu sistema el cifrado de archivos NTFS esté deshabilitado por política, bien sea por decisión corporativa o por configuración previa. Como se ha visto, esto se controla en gran parte mediante el valor NtfsDisableEncryption del registro de Windows.
Además de editar el registro, también existen otros métodos para habilitar o deshabilitar EFS, como comandos específicos o directivas de grupo, especialmente en entornos de dominio de Active Directory. A nivel doméstico, el cambio en el registro y la comprobación del servicio EFS suelen ser suficientes.
Si necesitas desactivar EFS por completo en un equipo (por ejemplo, para evitar que los usuarios cifren datos sin control), puedes establecer el valor NtfsDisableEncryption a 1 y asegurarte de que no haya certificados EFS activos asociados a las cuentas locales, teniendo en cuenta el impacto que eso puede tener en archivos que ya estén cifrados.
En cualquier caso, antes de realizar cambios de este tipo, es muy recomendable documentar qué archivos están cifrados y hacer copias de seguridad en texto claro o restaurar el acceso de forma controlada, para no perder información por una mala planificación.
EFS frente a BitLocker y otras soluciones de cifrado
Cuando se habla de proteger datos en Windows, es inevitable comparar EFS con BitLocker, y también con herramientas de terceros como VeraCrypt. Cada una tiene su nicho y sus puntos fuertes, por lo que no se trata tanto de elegir una u otra, sino de saber qué aporta cada una.
EFS resulta ideal para proteger archivos individuales en equipos donde varios usuarios tienen acceso o en carpetas compartidas en red. Su vinculación a la cuenta de usuario lo hace muy práctico: cada persona protege su información sin necesidad de gestionar volúmenes enteros.
BitLocker, por su parte, está pensado para cifrar unidades completas, incluidas la partición del sistema y discos externos. Se integra con el módulo TPM del hardware cuando está disponible, lo que proporciona una capa de seguridad muy robusta frente a ataques que impliquen extraer el disco y leerlo desde otro equipo.
Desde un punto de vista de seguridad, BitLocker suele considerarse más sólido que EFS porque protege contra escenarios como el robo físico del disco o el acceso sin arrancar Windows. EFS, al ir ligado a la cuenta de usuario, no protege si un atacante entra con tus credenciales o se aprovecha de una sesión ya iniciada.
Herramientas como VeraCrypt permiten crear contenedores cifrados o cifrar discos y particiones completas, actuando de manera similar a BitLocker pero con un enfoque multiplataforma y orientado a usuarios que quieren un control muy fino sobre los parámetros criptográficos.
En muchas organizaciones se adopta una combinación de soluciones: BitLocker o VeraCrypt para asegurar los discos, especialmente en portátiles y dispositivos extraíbles, y EFS para añadir una capa adicional de seguridad a archivos y carpetas concretas dentro de esos discos ya cifrados.
Preguntas frecuentes sobre EFS y cifrado de archivos NTFS
Una duda habitual es qué es exactamente el cifrado de archivo NTFS en Windows 10. No es más que la implementación práctica de EFS sobre volúmenes NTFS: una función integrada que permite cifrar y proteger archivos y carpetas específicos sin necesidad de software externo.
Para habilitar el cifrado de archivos NTFS, basta con seleccionar el archivo o carpeta, abrir Propiedades, ir a la sección Avanzadas y marcar la casilla “Cifrar contenido para proteger datos”, tal y como se ha explicado. Si la opción está disponible, Windows generará las claves necesarias y asociará el cifrado a tu cuenta.
Si en algún momento quieres descifrar un archivo o carpeta previamente protegido con EFS, el proceso es similar pero a la inversa. Haz clic derecho en el elemento, entra en Propiedades, botón Opciones avanzadas y desmarca la casilla de cifrado. Windows te preguntará si quieres aplicar el descifrado solo a ese elemento o también a subcarpetas y archivos contenidos.
En cuanto a la seguridad real, los archivos cifrados con NTFS son bastante resistentes a ataques directos sin la clave o el certificado apropiados, sobre todo si las contraseñas de las cuentas son robustas y el sistema está actualizado. Sin embargo, ningún método de cifrado puede considerarse absolutamente irrompible: pueden aparecer vulnerabilidades en software, hardware o en la propia gestión de contraseñas.
Para reforzar la protección es fundamental utilizar contraseñas fuertes y únicas, evitar apuntarlas en texto plano o en lugares obvios, limitar quién tiene acceso físico al equipo y mantener copias de seguridad tanto de los datos como de los certificados EFS en ubicaciones seguras.
En última instancia, EFS es una herramienta muy útil para proteger datos sensibles en entornos Windows con unidades NTFS, siempre que se comprendan bien sus límites y se combine con buenas prácticas de seguridad: cuentas bien protegidas, copias de seguridad de certificados, uso de BitLocker o soluciones similares para cifrado de disco completo cuando sea necesario y una gestión razonable del acceso físico a los equipos.
Todo este conjunto de medidas convierte al cifrado EFS en una opción muy práctica para blindar información delicada a nivel de archivo, ofreciendo un equilibrio interesante entre comodidad y seguridad que, bien configurado y complementado con otras tecnologías, puede encajar sin problema tanto en entornos domésticos como en empresas.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.