- La actualización de BIOS modifica el entorno que valida el TPM y puede hacer que BitLocker pida la clave de recuperación.
- Es esencial localizar y guardar la clave de BitLocker (cuenta, impresión o USB) antes de cambiar el firmware.
- Suspender temporalmente BitLocker en la unidad del sistema reduce problemas tras el flasheo de la BIOS.
- Algunos modelos, especialmente en entornos Dell empresariales, requieren seguir guías específicas del fabricante.
En este artículo vamos a ver, paso a paso y con todo lujo de detalles, qué debes hacer antes y después de actualizar la BIOS con BitLocker, qué le puede pasar al TPM, cómo conseguir la clave de recuperación si te la pide y por qué algunos equipos (como varios modelos Dell, placas ASUS o MSI B450/B550, entre otros) muestran avisos aparentemente contradictorios que confunden todavía más.
Qué pasa entre la BIOS, BitLocker y el TPM cuando actualizas
Para entender por qué a veces, tras actualizar la BIOS, BitLocker empieza a pedir la clave de recuperación en cada arranque, hay que tener claro cómo se relacionan BIOS/UEFI, TPM y el cifrado de BitLocker. Si sabes qué se está cambiando, resulta mucho más fácil tomar precauciones y no entrar en pánico cuando aparezca la pantalla azul.
BitLocker se basa, en la mayoría de equipos modernos, en un chip TPM 2.0 que guarda de forma segura parte de las claves de cifrado. Ese chip verifica que el entorno de arranque (firmware, Secure Boot, configuración fundamental) es el mismo que cuando se cifró el disco. Si detecta cambios importantes, interpreta que puede haber un ataque y fuerza la petición de la clave de recuperación para asegurarse de que eres tú quien está arrancando el equipo.
En algunos equipos de sobremesa con placas como una MSI B450 Tomahawk Max o una ASUS B550-F, el fabricante acompaña las versiones nuevas de BIOS con avisos muy serios: recomiendan activar BitLocker y guardar (o verificar) la clave de recuperación antes de flashear la BIOS, porque si algo sale mal puedes quedarte sin acceso a Windows. El mensaje suena alarmista, pero la idea de fondo es sencilla: si el TPM deja de reconocer el entorno y exige la clave, debes tenerla localizada sí o sí.
En portátiles profesionales tipo Dell Latitude o equipos de gama empresarial de Dell, HP o Lenovo, la cosa se complica un poco más porque, además, entra en juego la gestión corporativa: muchas veces la clave de BitLocker no está solo en tu cuenta, sino almacenada en la organización (dominio de empresa, universidad, etc.), y la BIOS puede venir actualizada automáticamente por el asistente del fabricante o por políticas de TI.
Por qué los fabricantes insisten tanto con BitLocker antes de actualizar la BIOS
Los mensajes de los fabricantes pueden parecer contradictorios: algunos te dicen que actives BitLocker y guardes la clave antes de actualizar y otros te piden justo lo contrario, que desactives BitLocker antes del flasheo. En realidad, ambos avisos buscan reducir riesgos, pero se centran en momentos distintos del proceso.
En el caso de placas como la MSI B450 Tomahawk Max, con actualizaciones de BIOS orientadas a activar o mejorar el soporte TPM (por ejemplo para cumplir con requisitos de Windows 11), el instalador avisa de que es crítico que tengas BitLocker correctamente configurado y, sobre todo, que tengas accesible la clave de recuperación. La razón es que un cambio en la forma en la que el firmware expone el TPM puede disparar la petición de la clave en el siguiente arranque.
Otros sistemas, como muchas placas ASUS B550, cuando detectan que la unidad del sistema está protegida por BitLocker, muestran un mensaje antes de flashear la BIOS pidiéndote que lo desactives. El objetivo es que la unidad no esté cifrada mientras el firmware se actualiza para minimizar problemas con el arranque y evitar bucles de recuperación si el TPM cambia demasiado su estado interno.
En algunos casos, como comentan muchos usuarios, aunque desactives BitLocker desde la interfaz gráfica de Windows, la herramienta de actualización de BIOS de la placa sigue mostrando la advertencia de que BitLocker está activo. Esto puede deberse a que todavía hay protectores configurados en la unidad, la suspensión no se ha aplicado correctamente, hay otras unidades cifradas (como pendrives) o el sistema no ha llegado a completar el ciclo de desactivación.
En portátiles Dell y otros equipos de empresa entra además en juego la forma en que se distribuyen las actualizaciones de firmware. Es frecuente que el asistente del fabricante instale la BIOS de forma automática durante una actualización rutinaria. Tras ello, al siguiente arranque, BitLocker puede exigir la clave de recuperación y, en ocasiones, seguir pidiéndola en cada reinicio porque el TPM no acaba de “confiar” en la nueva firma del firmware o en la nueva clave PK de Secure Boot.
Dónde encontrar la clave de recuperación de BitLocker si la BIOS te la pide
Si después de una actualización de BIOS te salta la pantalla azul de BitLocker pidiendo la clave de 48 dígitos, lo fundamental es saber exactamente dónde está guardada. Hay varios lugares habituales donde puede estar tu clave según cómo se configuró el equipo y si pertenece o no a una organización.
En entornos de trabajo o educativos es muy habitual que el dispositivo esté unido a un dominio corporativo o escolar. Si alguna vez has iniciado sesión con una cuenta profesional o educativa, la clave de recuperación suele estar ligada a esa cuenta y gestionada por el departamento de TI. En estos casos, muchas veces tendrás que contactar con soporte para que te faciliten la clave asociada al identificador de tu unidad.
Microsoft dispone de una página específica para encontrar claves de recuperación vinculadas a cuentas de trabajo o escuela. Desde otro dispositivo, puedes ir a AKA.MS/MyRecoveryKey, iniciar sesión con tu cuenta profesional o educativa, entrar en el apartado de dispositivos y expandir el equipo para el que necesitas la clave. Allí suele aparecer una opción de “Ver claves de BitLocker”, donde podrás localizar, mediante el ID de clave que muestra la pantalla azul, la clave de recuperación correspondiente.
Si tu equipo es personal y configuraste BitLocker tú mismo, es posible que en su día imprimieras la clave cuando se activó el cifrado. Conviene revisar las carpetas o archivadores donde sueles guardar documentación importante asociada al ordenador, porque la hoja impresa de la clave muestra claramente el ID y los 48 dígitos necesarios para desbloquear la unidad en caso de problemas.
Otra opción habitual es que guardases la clave de recuperación en una unidad USB. En ese caso, si el equipo está bloqueado en la pantalla azul, conecta el pendrive a ese mismo equipo y sigue las instrucciones que la pantalla de BitLocker ofrece para leer la clave desde el dispositivo. Si la clave está guardada como archivo de texto, también puedes conectar el USB en otro ordenador, abrir el .txt y copiar cuidadosamente los 48 dígitos para introducirlos manualmente donde se te piden.
En equipos modernos vinculados a una cuenta de Microsoft personal, la clave puede estar asociada a tu perfil de Microsoft en la web de la compañía, aunque en los entornos profesionales la vía más fiable suele ser la cuenta de organización en el portal mencionado o directamente el soporte de TI. Sea cual sea el caso, es crucial no seguir cambiando cosas en la BIOS (como borrar el TPM) antes de localizar y tener bien localizada la clave de recuperación.
Cuándo conviene suspender o desactivar BitLocker antes de actualizar la BIOS
Llegados a este punto, la gran duda suele ser: ¿tengo que desactivar BitLocker por completo antes de flashear la BIOS o basta con suspender la protección? Y, además, ¿en qué unidades tengo que hacerlo: solo en la de Windows o también en pendrives y discos secundarios?
Si solo quieres evitar que BitLocker te pida la clave de recuperación tras un cambio de firmware, lo más recomendable suele ser suspender temporalmente la protección en la unidad del sistema antes de iniciar la actualización de BIOS. En Windows, desde el Panel de control, en Cifrado de unidad BitLocker, puedes elegir la unidad C: y usar la opción de “Suspender protección” para que el TPM acepte cambios de plataforma sin forzar la pantalla azul.
La suspensión no descifra el disco; simplemente indica a BitLocker que consienta ciertos cambios en el entorno de arranque sin exigir la clave de recuperación. Una vez terminada la actualización de BIOS y confirmado que Windows arranca bien, puedes volver al mismo panel y pulsar en “Reanudar protección” para que el cifrado vuelva a funcionar con normalidad sellando de nuevo la configuración actual en el TPM.
En algunas situaciones, como la que se da en ciertas placas ASUS B550-F, el flasheador integrado en la BIOS puede seguir mostrando avisos insistiendo en que BitLocker sigue activo, incluso aunque lo hayas suspendido desde Windows. En estos casos, merece la pena comprobar por línea de comandos con manage-bde el estado real de los protectores y asegurarte de que el sistema ha aplicado correctamente la orden de suspensión.
Respecto a otras unidades cifradas, como pendrives USB o discos externos, solo pueden interferir en el proceso de actualización si el instalador de BIOS los detecta de algún modo problemático. Como norma general, basta con quitar del equipo todos los dispositivos no imprescindibles antes de flashear (discos externos, pendrives, etc.) y centrarse en que la unidad del sistema esté con BitLocker suspendido, no necesariamente desactivado o descifrado por completo.
Qué hacer si tras la actualización la clave de BitLocker se pide en cada arranque
Uno de los problemas más molestos que reportan usuarios de portátiles profesionales es que, después de una actualización de firmware o BIOS (por ejemplo en un Dell Latitude), BitLocker comienza a pedir la clave de recuperación en cada inicio, sin excepción. Introduces los 48 dígitos, Windows 11 arranca sin problemas, pero en el siguiente reinicio vuelve a pasar lo mismo.
Lo primero que suele recomendarse es entrar en Windows, ir al Panel de control y en la sección de BitLocker usar las opciones de “Suspender protección” y luego “Reanudar protección”. Este proceso debería servir para que el TPM vuelva a sellar las mediciones de arranque teniendo en cuenta la nueva versión de BIOS, lo que en teoría evitaría nuevas peticiones de la clave en los reinicios posteriores.
Si eso no da resultado, es posible trabajar con la herramienta de línea de comandos manage-bde usando órdenes como manage-bde -protectors -disable c: y, una vez reiniciado, manage-bde -protectors -enable c:. Esto fuerza a BitLocker a recalcular el estado de los protectores sobre la unidad. No obstante, en algunos equipos el comportamiento persiste: el sistema arranca, pero sigue exigiendo la clave de recuperación siempre.
Hay que verificar también en la BIOS que el chip TPM 2.0 está efectivamente habilitado y activo, y que el Secure Boot (Arranque seguro) está activado de forma coherente con la configuración de BitLocker. Cambios continuos en estos parámetros pueden confundir al TPM y hacer que nunca llegue a considerar el entorno como “estable”, prolongando el bucle de recuperación en cada arranque.
Un recurso más drástico es utilizar la opción de “Clear TPM” o “Borrar TPM” en la BIOS. Esto resetea el chip de seguridad y puede ayudar a resolver problemas de validación de arranque, pero no es una decisión que haya que tomar a la ligera: si borras el TPM sin tener clara la situación de BitLocker y sin acceso asegurado a la clave de recuperación, puedes quedarte sin poder descifrar el disco o perder funcionalidades como el PIN de Windows Hello hasta que se reconfiguren.
Antes de llegar a ese punto, normalmente se aconseja revisar cuidadosamente todas las opciones de suspensión y reanudación de BitLocker, comprobar que no hay cambios adicionales de firmware pendientes y, en equipos de empresa, consultar con el departamento de TI. A veces la solución pasa por actualizar a una versión de BIOS posterior que corrija el comportamiento o por aplicar una política específica de plataforma de arranque en el entorno corporativo.
Particularidades en equipos Dell y problemas conocidos con actualizaciones de BIOS
En el ecosistema Dell existen algunos casos documentados donde la actualización de BIOS, combinada con BitLocker y el manejo de la clave de plataforma (PK) de Secure Boot, ha generado incidencias lo bastante serias como para que se detuvieran determinadas actualizaciones distribuidas por Windows Update.
En varios modelos, como los Dell 14 Plus 2-in-1 DB04255, Dell 14 Plus DB14255 y Dell 16 Plus DB16255, se ha informado de un problema concreto con la versión de BIOS 1.2.0 y superiores. La actualización a esas versiones a través de Windows Update se ha pausado hasta aproximadamente noviembre de 2025 (fecha estimada y sujeta a cambios) mientras Microsoft trabaja en un nuevo método de actualización que solucione el conflicto con la clave PK y la interacción con BitLocker.
Durante este periodo, la recomendación oficial es no usar Windows Update para actualizar esa BIOS, sino acudir a Dell.com o a la herramienta Dell SupportAssist para obtener la versión más reciente del firmware para cada sistema afectado. De este modo, se intenta minimizar el riesgo de que la clave de recuperación de BitLocker quede en un estado incoherente o que el equipo se bloquee durante el proceso de actualización.
En la documentación de Dell también se listan amplias familias de productos afectados por distintos escenarios relacionados con BitLocker y BIOS: Dell Pro Max Micro, Pro Max Slim, Pro Max Tower, Dell Plus, Dell Pro, Pro Max, Pro Plus, Pro Premium, Latitude, Pro Rugged, Vostro y estaciones de trabajo fijas, entre otros. Cada gama puede tener matices diferentes, pero la idea general es similar: conviene seguir las guías específicas del fabricante, revisar los avisos de soporte y asegurarse de tener a mano la clave de recuperación antes de tocar nada.
Además, Dell suele publicar artículos en su base de conocimientos con pasos detallados para recuperar sistemas que se han quedado solicitando la clave de BitLocker tras cambios de firmware. En entornos gestionados, el propio sistema de gestión de dispositivos de la empresa puede almacenar de forma centralizada las claves y permitir al departamento de TI restablecer la confianza del TPM con la nueva BIOS sin que el usuario tenga que intervenir más que para reiniciar cuando se lo pidan.
Buenas prácticas generales antes de actualizar la BIOS con BitLocker activo
Combinando la experiencia con distintos fabricantes y casos reales de usuarios, se pueden extraer unas cuantas pautas sensatas para afrontar la actualización de BIOS en un equipo con BitLocker activado sin pasar un mal rato innecesario. No son reglas infalibles, pero sí buenas prácticas que reducen mucho los riesgos.
Lo primero es asegurarte de que sabes dónde está tu clave de recuperación y de que puedes acceder a ella incluso si el equipo principal no arranca. Eso implica comprobar tu cuenta de Microsoft o de organización, localizar el posible documento impreso o el archivo en un USB y, si el equipo es corporativo, confirmar que soporte de TI puede recuperarla si tú no la encuentras.
En segundo lugar, revisa detenidamente las notas de la versión de BIOS que vas a instalar y cualquier aviso que el fabricante incluya en la página de descarga o en el asistente. Si te piden suspender BitLocker, hazlo; si avisan de problemas conocidos con una versión específica, valora si realmente necesitas esa actualización ahora mismo o puedes esperar a una revisión posterior más pulida.
Siempre es recomendable realizar una copia de seguridad reciente de tus datos importantes antes de tocar el firmware. Aunque la actualización de BIOS tenga buena fama en tu modelo concreto, cualquier fallo eléctrico, corte de energía o interrupción puede dejar el equipo en un estado complicado. Tener backup no evita el problema, pero al menos te permite recuperar la información si la solución pasa por reinstalar o sustituir componentes.
En cuanto al estado de BitLocker, si el fabricante no indica lo contrario, la opción más equilibrada suele ser la de suspender la protección en la unidad del sistema justo antes de iniciar la actualización y reanudarla después de confirmar que Windows arranca bien con la nueva BIOS. Si el instalador sigue detectando BitLocker aunque lo hayas suspendido, plantéate si aún quieres proceder o si prefieres buscar información específica de tu placa o modelo.
Por último, evita hacer demasiados cambios en cadena: no es buena idea actualizar la BIOS, cambiar la configuración del Secure Boot, tocar el modo de arranque (UEFI/Legacy) y borrar el TPM todo a la vez. Ve paso a paso, introduce un cambio, comprueba que el sistema inicia sin problemas y, solo entonces, plantea el siguiente. De ese modo, si algo se rompe, sabrás mucho mejor qué ha sido y será más fácil volver atrás o pedir ayuda con datos concretos.
Conociendo mejor cómo interactúan BIOS, TPM y BitLocker, dónde se guardan las claves de recuperación y qué medidas preventivas puedes tomar, actualizar el firmware deja de ser una ruleta rusa tecnológica y pasa a ser una tarea delicada pero controlable, siempre que se respeten los avisos del fabricante y se mantenga a buen recaudo la información necesaria para recuperar el acceso al sistema si el cifrado decide ponerse exigente tras el cambio.
