Tutorial completo de BitLocker To Go en Windows

Inicio » Tutoriales » Tutorial completo de BitLocker To Go en Windows

Si usas memorias USB, discos externos o tarjetas SD con información delicada, perder uno de estos dispositivos puede ser un auténtico problema. Justo para evitar sustos está BitLocker To Go, la función de Windows pensada para que, aunque pierdas el pendrive, los datos sigan estando a salvo porque nadie puede leerlos sin tu contraseña o clave de recuperación.

Además de BitLocker To Go, Windows incluye otras opciones de cifrado completo de disco, recuperación de datos y gestión avanzada mediante Panel de control, directivas de grupo o mapear dispositivos USB con PowerShell, e incluso se apoya en hardware específico como el chip TPM. Vamos a ver absolutamente todo, sin dejarnos nada: qué es, cómo funciona, cómo activarlo, qué hacer si pierdes la contraseña, cómo recuperar datos y qué alternativas hay.

Qué es BitLocker y qué lo diferencia de BitLocker To Go

BitLocker es la tecnología de cifrado de disco completo integrada en Windows (ediciones Pro, Enterprise y Education) que permite proteger una partición concreta o todo un disco. Cifra cada bit de la unidad con el algoritmo AES (Advanced Encryption Standard), pudiendo usar claves de 128 o 256 bits, de forma que todo el contenido queda ilegible si no se dispone de la credencial correcta.

Este cifrado puede aplicarse tanto al disco interno donde está el sistema operativo como a otras particiones de datos del propio equipo. Cuando activas BitLocker en una unidad, Windows cifra la información al vuelo: lo que copias o guardas se cifra automáticamente y, cuando lo abres desde un sistema autorizado, se descifra de manera transparente para ti.

BitLocker puede estar activado incluso de fábrica en algunos equipos modernos, siempre que cumplan ciertos requisitos de hardware (como compatibilidad con Modern Standby o certificaciones HSTI). En esos casos, el usuario ni siquiera elige una contraseña de BitLocker: la protección se vincula a su cuenta de Microsoft o Azure AD y la clave de recuperación se guarda automáticamente en la nube asociada.

La implementación también puede ser por software puro o apoyada en hardware. En el modo basado en hardware, BitLocker usa el chip TPM (Trusted Platform Module) de la placa base para generar y custodiar partes críticas de las claves de cifrado, dificultando manipulaciones mientras el sistema está apagado. En el modo puramente software, todo lo maneja el sistema operativo, y el desbloqueo se basa en contraseña, clave de recuperación o clave de inicio almacenada en un USB.

Cuando se activa BitLocker, el volumen cifrado contiene unos metadatos especiales donde se guardan, en forma procesada, la contraseña, las claves de recuperación de 48 dígitos y las claves de inicio (*.bek). Si esos metadatos se corrompen gravemente por daños físicos, puede ocurrir que ni siquiera con la clave correcta se pueda desbloquear el volumen, porque el sistema no puede validar las credenciales contra esos metadatos.

Qué es exactamente BitLocker To Go

BitLocker To Go es la variante de BitLocker diseñada para unidades extraíbles: pendrives USB, tarjetas SD, discos duros externos y, en general, cualquier medio formateado en NTFS, FAT16, FAT32 o exFAT. Su finalidad es que, si pierdes o te roban el dispositivo, el contenido siga inaccesible sin la contraseña o clave de recuperación.

En la práctica, BitLocker To Go cifra toda la unidad y, a partir de ese momento, sólo podrás abrirla introduciendo la contraseña, usando la clave de recuperación o una tarjeta inteligente si la organización lo tiene configurado así. La gran ventaja es que la integración con Windows es total: cuando conectas el USB cifrado, el sistema detecta que está protegido y te muestra el cuadro de diálogo para desbloquearlo.

Aunque el comportamiento base es muy similar al BitLocker “normal”, la diferencia clave es que BitLocker To Go se orienta a medios portátiles. Incluso permite activar opciones como el desbloqueo automático en un equipo concreto, de forma que en tu propio PC no tengas que meter la contraseña cada vez, pero si conectas ese mismo pendrive en otro ordenador sí te la pedirá.

En Windows, las unidades gestionadas por BitLocker To Go aparecen en el applet de gestión como “Unidades de datos extraíbles: BitLocker To Go”, claramente diferenciadas de los discos internos del sistema y de datos.

Acceder a la administración de BitLocker desde Windows

Para manejar BitLocker y BitLocker To Go desde la interfaz clásica, Windows ofrece un applet específico en el Panel de control. Desde ahí puedes activar, desactivar, cambiar contraseñas, hacer copias de seguridad de claves de recuperación y ver de un vistazo qué está cifrado y qué no.

Los pasos básicos para entrar en la administración de BitLocker en un equipo con Windows Pro, Enterprise o Education son muy directos: inicias sesión con una cuenta con privilegios de administrador, abres el menú Inicio, escribes “BitLocker” y seleccionas “Administrar BitLocker” en los resultados. Esto abre la ventana de “Cifrado de unidad BitLocker”.

En esa ventana verás un listado de todas las unidades conectadas al equipo, agrupadas por tipo. La unidad del sistema operativo (típicamente C:) se muestra en un bloque superior, las unidades de datos fijas (otros discos internos) aparecen en otra sección, y las unidades extraíbles (USB, tarjetas de memoria, etc.) se listan bajo el apartado “Unidades de datos extraíbles: BitLocker To Go”.

Junto a cada volumen se indican las operaciones permitidas: activar BitLocker, desactivar, hacer copia de la clave de recuperación, cambiar contraseña, quitarla, activar desbloqueo automático o añadir tarjeta inteligente. Así puedes ver de un vistazo qué protección tiene cada unidad y qué puedes hacer con ella.

Cifrado manual de una unidad con BitLocker

Para poner en marcha BitLocker o BitLocker To Go de manera manual, el proceso típico pasa por abrir el applet y elegir la unidad concreta que quieres proteger. Cada disco o pendrive tiene asociadas sus propias opciones de configuración y su propio conjunto de claves.

El flujo general es siempre parecido: primero abres la ventana de “Cifrado de unidad BitLocker” desde el Panel de control o la Configuración, después localizas la unidad en cuestión y pulsas en “Activar BitLocker”. El asistente te irá guiando por los pasos siguientes.

Durante el asistente tendrás que elegir uno o varios métodos para desbloquear la unidad: normalmente una contraseña (obligatoria en unidades externas), pero también puedes añadir tarjeta inteligente o clave de inicio en USB para discos de arranque. A continuación, Windows te pedirá que hagas copia de seguridad de la clave de recuperación de 48 dígitos, lo que es fundamental para no quedarte tirado si olvidas la contraseña.

El asistente también te preguntará si quieres cifrar sólo el espacio usado (más rápido, recomendable en discos nuevos) o todo el disco (mejor para discos ya usados, porque también protege restos de datos borrados). Después podrás escoger el modo de cifrado más adecuado para tu escenario, especialmente importante cuando hablamos de discos extraíbles que vayan a conectarse a equipos con versiones antiguas de Windows.

Una vez confirmadas las opciones, la unidad inicia el proceso de cifrado en segundo plano. Dependiendo del tamaño y la velocidad del dispositivo, puede tardar desde unos minutos a varias horas, pero puedes seguir usando el equipo mientras tanto. Verás una barra de progreso y, cuando termina, la unidad ya figura como cifrada con un icono de candado.

Contraseñas, claves de recuperación y claves de inicio

BitLocker admite varios tipos de credenciales para desbloquear volúmenes, cada una con su función. La más habitual en BitLocker To Go es la contraseña de usuario, una cadena que escribes cada vez que quieres acceder a la unidad cifrada. Se define al configurar el cifrado y debe ser robusta: mayúsculas, minúsculas, números y símbolos.

Junto a esa contraseña, el sistema siempre genera una clave de recuperación de 48 dígitos cuando activas BitLocker por primera vez en una unidad. Es el salvavidas para el caso en que olvides la contraseña o cuando el dispositivo se cifra automáticamente sin que tú hayas establecido una clave manual (algo frecuente en equipos nuevos con cifrado activado de serie). El formato típico es algo como 458496-748026-55221-116398-289491-332432-267599-589681.

En algunos escenarios se usa además una clave de inicio, que es un archivo oculto con extensión .bek almacenado en un USB. Este archivo actúa como equivalente a la clave de recuperación, pero pensado para ser usado automáticamente durante el arranque del sistema en unidades de sistema cifradas. Mientras el pendrive con el .bek esté conectado, el equipo puede desbloquear el volumen sin pedir contraseña al usuario.

Tanto la contraseña como la clave de recuperación y el contenido de la clave de inicio se almacenan cifrados dentro de los metadatos internos de BitLocker en el volumen. Cuando introduces una credencial, el sistema la procesa y compara con esos metadatos. Si coinciden, el volumen se monta en claro para ese sistema. Pero si esos metadatos están seriamente dañados por un fallo de hardware, no hay truco de software que lo arregle: el contenido seguirá cifrado e inservible.

Si pierdes la clave de inicio (*.bek) pero aún conservas la contraseña o la clave de recuperación, puedes recrearla. Desbloqueas la unidad desde Windows, entras al panel de BitLocker, eliges la unidad y seleccionas “Realizar copia de seguridad de la clave de recuperación”, indicando como destino un nuevo pendrive. El sistema generará de nuevo el archivo .bek con la clave de arranque.

Dónde encontrar la clave de recuperación de BitLocker

Al configurar BitLocker, Windows ofrece varias opciones para guardar la clave de recuperación. Es fundamental saber ubicaciones dónde buscarla si un día olvidas la contraseña o el sistema te pide dicha clave tras un cambio de hardware sospechoso o un problema de arranque.

Una de las ubicaciones más frecuentes es la cuenta de Microsoft. Si guardaste ahí la clave, basta con iniciar sesión en tu cuenta online, ir a la sección de “Claves de recuperación de BitLocker” y localizar la que corresponde al nombre del dispositivo concreto. Verás el identificador de clave y el código de 48 dígitos.

Otra posibilidad es que la hayas almacenado como archivo de texto (*.txt) en otro disco o ruta de red. Su nombre suele empezar por “BitLocker Recovery key” seguido de un identificador alfanumérico. Puedes buscarlo directamente en el Explorador escribiendo “BitLocker Recovery key” en el cuadro de búsqueda.

Si optaste por guardarla en una memoria USB, en realidad lo que hay es un archivo (ya sea .txt o .bek) que puede estar oculto. Para verlo, abres el Explorador, cambias a la pestaña de Vista y activas “Mostrar archivos, carpetas y unidades ocultos”. Aparecerá un fichero cuyo nombre es una secuencia aparentemente aleatoria de letras y números.

Mucha gente prefiere la copia impresa. En ese caso, tendrás una hoja de papel con la clave de recuperación impresa en claro. Lo más sensato es guardarla en un lugar físico seguro, junto con otros documentos importantes relacionados con el ordenador.

En entornos corporativos que usan Azure Active Directory, las claves pueden almacenarse en la cuenta de Azure AD. Accediendo al portal de Azure, navegas hasta Azure Active Directory, localizas el dispositivo por nombre o número de serie y, en sus detalles, tienes la opción de mostrar la clave de recuperación asociada.

Qué pasa si olvidas la contraseña y no tienes la clave de recuperación

Si pierdes la contraseña de BitLocker To Go pero conservas la clave de recuperación, tienes salvación: puedes usar esa clave de 48 dígitos en lugar de la contraseña para desbloquear la unidad. Windows te ofrece esa opción en el mismo cuadro donde normalmente introduces la clave de acceso.

El problema serio viene cuando has olvidado la contraseña y, además, no encuentras la clave de recuperación por ninguna parte. El cifrado de BitLocker se basa en AES con claves de 128 o 256 bits y no incluye “puertas traseras” conocidas: sin una credencial válida, los datos son matemáticamente irrecuperables con los medios actuales.

En ese escenario extremo, la única salida para poder volver a usar la unidad es formatearla. Esto elimina el volumen cifrado (y por tanto los datos que contenía) y quita el cifrado, de modo que podrás reutilizar el disco o el pendrive desde cero, pero habrás perdido definitivamente la información.

Antes de tirar la toalla, conviene revisar con calma todas las posibles ubicaciones de la clave: cuenta de Microsoft, gestores de contraseñas que quizás hayan almacenado algo, archivos de texto guardados en otros discos, copias impresas olvidadas en archivadores, o claves registradas en la organización si se trataba de un dispositivo corporativo.

Si no aparece la clave en ninguno de esos sitios y no recuerdas la contraseña, no existe una “tercera vía” mágica. Los intentos de fuerza bruta son totalmente inviables por el tamaño de la clave, y los programas serios de recuperación de datos lo que hacen es trabajar después de que el usuario haya podido descifrar el volumen, no romper el cifrado en sí.

Pérdida y recuperación de datos en unidades BitLocker

Una vez aclarado que sin la clave no hay nada que hacer, la situación cambia si sí puedes desbloquear el volumen, pero dentro has borrado datos por accidente, has formateado, ha habido un virus o una corrupción lógica del sistema de archivos. En esos casos, la recuperación de datos es posible usando software especializado.

Herramientas como Recoverit Data Recovery o la familia de programas UFS Explorer permiten trabajar con volúmenes BitLocker siempre que tú seas un usuario autorizado y facilites la contraseña, clave de recuperación o archivo .bek correcto. El cifrado sigue sin romperse: tú desbloqueas y el software ya opera sobre los datos en claro.

Recoverit, por ejemplo, es una solución de escritorio muy conocida que permite recuperar ficheros borrados, datos tras formateos, infecciones de malware o pérdidas de partición en todo tipo de dispositivos (incluidos pendrives y discos externos protegidos con BitLocker To Go). Su interfaz guía al usuario en tres pasos: escoges la unidad, escaneas y luego previsualizas y restauras lo que te interese, siempre partiendo de que la unidad ha podido desbloquearse.

En el caso de UFS Explorer, todas sus ediciones (Standard, RAID, Network RAID y Professional) soportan BitLocker y permiten descifrar volúmenes mediante contraseña, clave de recuperación o archivo de clave de inicio *.bek. El procedimiento consiste en conectar la unidad, localizar en la interfaz el volumen marcado con el candado amarillo, ejecutar la opción de “Descifrar volumen BitLocker” e introducir la credencial que tengas.

Una vez descifrado en el programa, puedes lanzar un escaneo profundo para reconstruir el sistema de archivos y localizar datos borrados o perdidos. Tras el escaneo, examinas las carpetas, marcas los elementos que quieres rescatar y los copias a otro destino sano. Conviene no guardar nunca los datos recuperados en la misma unidad cifrada para no sobrescribir áreas potencialmente recuperables.

La edición Professional de UFS Explorer añade capacidades extra, como la localización de volúmenes BitLocker que se han perdido durante un formateo o borrado de partición. En ese caso, primero hay que redescubrir el volumen cifrado y, una vez localizado, proceder al mismo flujo de descifrado y escaneo descrito antes.

Hardware TPM, cifrado y seguridad adicional

El TPM (Trusted Platform Module) es un chip de seguridad que muchos equipos modernos incluyen en la placa base. Su función es generar y custodiar claves criptográficas, así como verificar la integridad del proceso de arranque, lo que complementa muy bien el uso de BitLocker en unidades de sistema.

En configuraciones con TPM, parte de las claves que usa BitLocker se guardan en ese chip y nunca se exponen directamente al sistema operativo o a aplicaciones de terceros. El TPM puede desbloquear automáticamente la unidad en el arranque si no detecta cambios sospechosos en el hardware o en el cargador de arranque, o bien exigir un PIN adicional (modo TPM + PIN) antes de liberar la clave.

Esta combinación hace mucho más difícil que un atacante pueda manipular el PC apagado (por ejemplo arrancando desde un USB con un sistema forense) para acceder al disco cifrado. Si el TPM detecta que se ha alterado algún componente clave, simplemente no libera la clave y el sistema entra en un escenario de recuperación solicitando la clave de BitLocker.

El TPM también protege frente a cierto malware muy sofisticado capaz de modificar el propio arrancador antes de que se cargue el sistema y el antivirus. Al establecer una cadena de confianza en el arranque, ayuda a asegurar que lo que se ejecuta al inicio es exactamente lo que debería ser, y en caso de detectar un compromiso puede pasar el equipo a un modo de “cuarentena” o impedir directamente el arranque.

Entre las desventajas del uso intensivo de TPM están la dependencia del hardware (si el chip falla o la placa se cambia sin migrar nada, los datos ligados a ese TPM pueden quedar inaccesibles), la complejidad para usuarios poco avanzados y la necesidad de confiar en que el fabricante haya implementado correctamente tanto el chip como el soporte en BIOS/UEFI y sistema operativo.

Rendimiento, algoritmos y configuración avanzada del cifrado

BitLocker está diseñado para tener un impacto mínimo en el rendimiento, especialmente en equipos modernos con soporte de instrucciones AES-NI. Aun así, en ciertos SSD de última generación se ha visto una caída notable de rendimiento con el cifrado software activado, sobre todo en operaciones aleatorias intensivas.

En Windows 10 y posteriores, para unidades internas, BitLocker usa por defecto el algoritmo XTS-AES con clave de 128 bits, que es rápido y ofrece buena seguridad frente a ataques de modificación de datos. Para unidades externas y memorias USB, la configuración estándar suele ser AES-CBC con clave de 128 bits, un modo algo más antiguo pero aún robusto si se acompaña de contraseñas fuertes.

La longitud de la clave (128 o 256 bits) y el algoritmo concreto pueden ajustarse mediante las directivas de grupo locales. Desde el editor de políticas (gpedit.msc) puedes acceder a las plantillas administrativas de “Cifrado de unidad BitLocker” y, dentro de ahí, escoger el método e intensidad de cifrado para discos internos de arranque, discos internos de datos y unidades extraíbles.

Aumentar a 256 bits hace el cifrado teóricamente más resistente a ataques de fuerza bruta, a costa de un ligero incremento en el tiempo de cifrado y descifrado. En la práctica, con el hardware actual, el impacto suele ser pequeño y muchos administradores optan por 256 bits, especialmente en entornos con información muy sensible.

Un aspecto avanzando es la posibilidad de desactivar el cifrado por software de BitLocker en equipos con SSD que ya integran su propio cifrado de hardware, o viceversa. En Windows 11 Pro, por ejemplo, se han detectado casos en los que BitLocker software degrada notablemente el rendimiento de algunas unidades, como ciertos SSD de alta gama, obligando a revisar la configuración y, en algunos casos, a desactivar BitLocker o reinstalar Windows cambiando el método usado.

Activar BitLocker y BitLocker To Go: métodos de configuración

A la hora de activar BitLocker o BitLocker To Go, Windows ofrece varios caminos: desde el Panel de control clásico, desde la app de Configuración, desde el Explorador de archivos, mediante línea de comandos (manage-bde) o usando cmdlets de PowerShell. La lógica de fondo es la misma, sólo cambia la interfaz.

Desde el Panel de control puedes entrar en “Sistema y seguridad > Cifrado de unidad BitLocker”, ver todas las unidades y pulsar “Activar BitLocker” en la que quieras cifrar. Si se trata de la unidad del sistema, el asistente añadirá automáticamente una pequeña partición sin cifrar para alojar los ficheros de arranque, mientras que el resto del volumen se protegerá con BitLocker.

Si prefieres, en Windows 10 puedes ir al Centro de actividades, abrir “Todas las configuraciones > Sistema > Acerca de” y, al final, encontrarás el enlace a la configuración de BitLocker. Desde el Explorador, también puedes hacer clic derecho sobre una unidad y elegir la opción “Activar BitLocker” directamente.

En equipos sin TPM, por defecto BitLocker no te dejará cifrar la unidad del sistema hasta que modifiques una directiva concreta. Mediante gpedit.msc debes ir a “Cifrado de unidad de BitLocker > Unidades del sistema operativo > Requerir autenticación adicional al iniciar” y habilitar la opción “Permitir BitLocker sin un TPM compatible”. Después de actualizar las políticas (gpupdate /target:Computer /force), el asistente te permitirá usar una contraseña o una memoria USB como clave de arranque.

En este caso, BitLocker puede obligarte a usar un pendrive para guardar la clave de desbloqueo de arranque: esa memoria deberá estar conectada siempre que quieras arrancar el equipo. Es crucial no extraerla durante el proceso de cifrado ni en los reinicios iniciales, y conviene ajustar la BIOS para que el ordenador no intente arrancar desde ese propio USB.

Configuración y gestión de unidades cifradas

Una vez que tienes una unidad cifrada con BitLocker o BitLocker To Go, en la ventana de administración verás un pequeño panel de control bajo esa unidad con varias opciones de gestión. Ahí puedes realizar las tareas habituales de mantenimiento de la protección.

La opción “Copia de seguridad de la clave de recuperación” sirve para generar o regenerar copias de la clave de 48 dígitos, ya sea guardándola en tu cuenta Microsoft, en un archivo, en un USB o imprimiéndola. Es buena práctica tener, al menos, dos copias en lugares distintos (por ejemplo, nube + papel).

Con “Cambiar contraseña” puedes actualizar la clave que usas a diario para desbloquear la unidad. “Quitar contraseña” te permite eliminar ese método de autenticación, pero sólo si antes activas otro (por ejemplo, tarjeta inteligente), ya que BitLocker no puede quedar sin ningún protector configurado.

La opción “Desactivar BitLocker” inicia el proceso de descifrado completo del volumen, devolviéndolo a un estado sin protección. Es útil cuando vas a retirar un disco, vender un equipo o cambiar completamente de método de cifrado. También puedes añadir una tarjeta inteligente como dispositivo de desbloqueo, o activar el “desbloqueo automático” para que en ese equipo concreto la unidad se monte siempre en claro sin pedirte la contraseña.

Si usas escritorio remoto para conectarte a un equipo con discos cifrados, verás que las unidades también requieren su contraseña o clave de recuperación desde esa sesión remota. BitLocker actúa a nivel de volumen, no de usuario local/remoto, por lo que mientras tengas las credenciales podrás abrir la unidad desde cualquier forma de acceso.

BitLocker To Go en sistemas antiguos y lector especial

En versiones antiguas de Windows, como Windows XP o Vista, las unidades USB cifradas con BitLocker To Go no se reconocen de forma nativa. Estos sistemas no están preparados para gestionar el módulo de desbloqueo integrado en las versiones modernas de Windows y, por defecto, no permitirán montar la unidad.

Para solventar esto, Microsoft ofreció una herramienta llamada “BitLocker To Go Reader”, pensada fundamentalmente para conceder acceso de sólo lectura a unidades con sistema de archivos FAT protegidas por BitLocker. Con este lector, en esos sistemas antiguos se podía introducir la contraseña y, al menos, leer los ficheros sin necesidad de modificar nada en el pendrive.

Eso sí, esta solución está muy limitada y pensada como un apaño para entornos donde conviven equipos antiguos con otros más nuevos. En general, si vas a usar BitLocker To Go, es recomendable hacerlo en contextos donde todos los sistemas sean, como mínimo, Windows 7 o superior.

En cualquier caso, si te mueves mucho entre plataformas (Linux, macOS, distintos Windows) y necesitas compatibilidad máxima, puede que BitLocker To Go no sea la opción más cómoda y sea mejor plantearse soluciones multiplataforma como VeraCrypt.

Todo este ecosistema de BitLocker y BitLocker To Go, combinado con el uso adecuado de contraseñas robustas, copias de seguridad de la clave de recuperación y, cuando proceda, soporte de hardware como TPM, convierte a esta tecnología en una opción muy sólida para blindar pendrives, discos externos y unidades internas frente a accesos no autorizados, siempre que el usuario sea consciente de que, si pierde sus claves, nadie podrá rescatarle los datos.