Ventajas y desventajas de BitLocker frente a otros cifrados

  • BitLocker ofrece cifrado de disco completo integrado en Windows con soporte TPM y gestión centralizada, ideal para proteger equipos y discos frente a robo.
  • Su impacto en rendimiento es moderado, pero requiere ediciones Pro/Enterprise y hardware compatible, lo que limita su uso universal.
  • Protege datos en reposo en la unidad, pero no evita que se copien descifrados a USB, correo o nube, por lo que no es una solución DLP completa.
  • En escenarios de intercambio seguro y cumplimiento estricto es recomendable combinar BitLocker con cifrado a nivel de archivo o contenedor.
Joaquin Romero

14 minutos

Ventajas y desventajas de BitLocker frente a otros cifrados

Cuando se habla de cifrar discos en Windows, casi siempre aparece el mismo nombre: BitLocker. Es la opción nativa de Microsoft y, para mucha gente, la elección “por defecto”. Pero si tu empresa está valorando usarlo, por ejemplo, para un proyecto de DLP con memorias USB y discos externos, conviene mirar con lupa qué ofrece BitLocker y qué limitaciones tiene frente a otras alternativas de cifrado de unidades y de archivos.

En las próximas líneas vas a ver, de forma muy detallada, cómo funciona BitLocker, qué ventajas reales aporta y qué desventajas tiene en comparación con otras tecnologías como EFS, herramientas de terceros o soluciones de cifrado “portátil”. También veremos usos recomendados en entornos corporativos, implicaciones en rendimiento, requisitos de hardware y qué pasa cuando movemos datos fuera de una unidad BitLocker.

¿Qué es BitLocker y qué problema resuelve?

BitLocker es una funcionalidad de cifrado de volumen completo integrada en Windows desde Vista y Windows Server 2008. Su objetivo es sencillo pero crítico: que si alguien roba un portátil, extrae un disco o se lleva un USB, no pueda leer nada sin la clave, el PIN o la contraseña de recuperación.

A diferencia de otros sistemas, BitLocker no cifra archivos sueltos sino la unidad entera: sistema operativo, datos de usuario, archivos temporales y, si se desea, incluso solo el espacio ya usado o todo el disco. El contenido se vuelve ilegible si no se dispone de las credenciales correctas, lo que aporta una capa de seguridad física muy potente.

Esta tecnología está disponible en Windows 7 Ultimate/Enterprise, Windows 8.1 Pro/Enterprise y Windows 10 y 11 Pro, Enterprise y Education, además de Windows Server recientes (2016, 2019, 2022). No está incluida en Windows Home, lo que ya adelanta una de sus primeras pegas para usuarios domésticos.

USBs maliciosos
Artículo relacionado:
Medidas prácticas para proteger tu equipo frente a USBs maliciosos

Breve historia y evolución de BitLocker

BitLocker apareció por primera vez en Windows Vista y Windows Server 2008, como respuesta de Microsoft a la preocupación creciente por el robo de portátiles y la fuga de información sensible. Desde entonces, cada versión de Windows ha ido puliendo funcionalidades, modos de cifrado y sobre todo integración con hardware de seguridad.

Con el tiempo se han ido añadiendo soporte avanzado para TPM, mejor integración con Active Directory y Microsoft Entra ID, compatibilidad con nuevos modos de cifrado AES-XTS, opciones de bloqueo por red (Network Unlock) en entornos de dominio y una mejor experiencia para unidades extraíbles mediante BitLocker To Go.

Hoy en día, BitLocker es una pieza clave en la estrategia de seguridad de muchas organizaciones para cumplir normativas como GDPR o leyes sectoriales que exigen cifrado de datos personales o confidenciales, especialmente en dispositivos móviles.

Cómo funciona BitLocker: cifrado, TPM y arranque seguro

El corazón de BitLocker es el algoritmo AES (Advanced Encryption Standard) en claves de 128 o 256 bits, que puede operar en modos como AES-CBC o, en versiones modernas, XTS-AES para mayor resistencia frente a ciertos ataques sobre discos.

Cuando activas BitLocker en una unidad, se genera una clave maestra de volumen que realmente cifra los datos. Esa clave, a su vez, se protege con otras claves y credenciales (TPM, PIN, contraseña, clave de inicio en USB, etc.). El usuario nunca maneja directamente la clave maestra: se interacciona con contraseñas, PIN o archivos de recuperación.

El módulo TPM (Trusted Platform Module) juega un papel central en equipos compatibles. Es un chip criptográfico que almacena claves de forma segura y comprueba la integridad del arranque. BitLocker vincula la clave de descifrado al TPM y a ciertos registros de configuración de plataforma (PCR). Si alguien intenta arrancar el disco en otro equipo o cambia componentes críticos de arranque, el TPM no libera la clave y BitLocker entra en modo de recuperación, pidiendo la clave de 48 dígitos.

Además, BitLocker se apoya en la estructura de particiones típica de sistemas UEFI: partición EFI de arranque, partición reservada (MSR), partición del sistema operativo y, opcionalmente, partición de recuperación. La partición de arranque no se cifra, pero la del sistema operativo sí; el TPM verifica que todo el flujo de arranque coincide con lo que se selló en su día para decidir si entrega la clave.

Requisitos para usar BitLocker sin dolores de cabeza

Para aprovechar todas las prestaciones de BitLocker, es importante que el equipo cumpla ciertos requisitos de hardware y firmware:

  • TPM 1.2 o 2.0 instalado y habilitado en BIOS/UEFI, si se quiere usar autenticación basada en TPM y arranque seguro.
  • Firmware UEFI o BIOS compatible con TCG, que permita establecer una cadena de confianza en el arranque.
  • Modo de arranque UEFI (especialmente con TPM 2.0), evitando modos heredados o CSM que pueden romper la vinculación con PCR 7.
  • Esquema de particiones adecuado: al menos una unidad de sistema (NTFS) y otra de arranque (FAT32 para UEFI o NTFS para BIOS) separadas.
  Herramientas no code para crear productos útiles sin programar

Es técnicamente posible activar BitLocker sin TPM, usando solo contraseñas o claves de inicio en USB, pero se pierde buena parte de la protección de integridad de arranque. En entornos corporativos, prescindir de TPM suele considerarse una mala práctica salvo situaciones muy concretas.

Autenticación, claves y recuperación en BitLocker

BitLocker admite diferentes métodos de autenticación de prearranque para unidades del sistema operativo:

  • Solo TPM (arranque transparente para el usuario si el equipo no ha sido manipulado).
  • TPM + PIN numérico (autenticación multifactor: hardware + algo que sabes).
  • TPM + clave de inicio en USB.
  • Solo contraseña o solo USB en escenarios sin TPM.

Además, para cualquier volumen protegido se genera una clave de recuperación de 48 dígitos. Esta clave puede:

  • Guardarse en un archivo (USB, disco no cifrado).
  • Imprimirse y almacenarse físicamente.
  • Subirse a una cuenta Microsoft o a Microsoft Entra ID en equipos unidos a la nube.
  • Almacenarse en Active Directory en entornos de dominio on-premises.

Ventajas y desventajas de BitLocker frente a otros cifrados

BitLocker To Go: cifrado para USB y unidades extraíbles

BitLocker To Go es la extensión de la tecnología para unidades extraíbles como memorias USB y discos externos. El comportamiento es similar: al habilitarlo, se cifra todo el volumen y solo se puede acceder introduciendo contraseña, usando un smart card o, en algunos casos, asociándolo a un TPM.

Desde el punto de vista de un proyecto DLP, esto tiene implicaciones importantes: cualquier unidad externa puede cifrarse con BitLocker usando una simple contraseña, incluso en equipos no gestionados. Es decir, un usuario puede cifrar un USB en su ordenador personal y llevárselo a la empresa o al revés, lo que dificulta controlar el flujo de información solo con la presencia de BitLocker.

Además, hay que considerar que, una vez montada y desbloqueada la unidad, los archivos se manejan en claro por el sistema. BitLocker protege el contenido “en reposo” en el dispositivo, pero no impide que el usuario copie esos datos a otros medios no cifrados, los adjunte a correos o los suba a la nube sin protección adicional.

BitLocker vs EFS y otras tecnologías de cifrado de Windows

En el ecosistema de Windows conviene no mezclar conceptos: junto a BitLocker existe EFS (Encrypting File System), un cifrado a nivel de archivo y carpeta que usa certificados del usuario y solo funciona en volúmenes NTFS.

Mientras BitLocker cifra la unidad completa y protege principalmente contra acceso físico no autorizado (robo de discos, equipos, USB…), EFS se centra en que solo determinados usuarios o cuentas con certificados concretos puedan abrir ciertos ficheros dentro de un sistema en marcha.

Hay varios matices clave:

  • Al copiar archivos desde una unidad BitLocker a un pendrive sin cifrar, enviarlos por correo o subirlos a la nube, los datos salen descifrados: la protección es del disco, no del archivo individual.
  • Con EFS, si copias un archivo cifrado a un pendrive FAT32 o exFAT, el sistema también lo descifra automáticamente porque esos sistemas de archivos no soportan EFS; en un pendrive NTFS podría mantenerse cifrado, pero solo sería legible por usuarios con el certificado adecuado.
  • Al sincronizar con OneDrive, Google Drive, Dropbox u otros servicios, los archivos EFS se suben descifrados; la nube no conserva la protección EFS, aunque luego aplique su propio cifrado en reposo.

En resumen, tanto BitLocker como EFS protegen muy bien “datos en reposo” dentro de Windows, pero no son soluciones de cifrado “portátil” ni de intercambio seguro. Para eso se recomiendan herramientas como VeraCrypt, Cryptomator o archivos 7-Zip/ZIP con cifrado AES y contraseña fuerte.

Ventajas de BitLocker frente a otros sistemas de cifrado de unidades

BitLocker tiene varios puntos fuertes que explican su uso masivo en entornos profesionales. Entre las ventajas más relevantes frente a muchas alternativas de terceros están:

  • Integración nativa con Windows: no requiere instalar software adicional, se actualiza con el propio sistema y se integra con las políticas de seguridad de Microsoft.
  • Gestión centralizada: en dominios se puede controlar mediante Directivas de Grupo, Active Directory, Microsoft Entra ID y herramientas de gestión como Intune o soluciones de terceros que consumen sus APIs.
  • Coste “cero” adicional en ediciones Pro/Enterprise/Education: a diferencia de productos de cifrado de pago, BitLocker ya viene incluido.
  • Cifrado de disco completo: protege tanto datos de usuario como ficheros de sistema, archivos temporales y espacio libre, complicando la recuperación forense de restos de información.
  • Uso del TPM para reforzar la seguridad: vincular claves al hardware y al estado del arranque reduce las posibilidades de ataques que extraigan el disco y lo monten en otro equipo.
  • Impacto moderado en rendimiento: en hardware actual con aceleración de cifrado, el coste en CPU y E/S suele ser bajo y, para la mayoría de usuarios, prácticamente imperceptible.
  • Compatibilidad con funciones avanzadas: como Network Unlock para equipos en dominio, protección de volúmenes del sistema y de datos, soporte de VHD/VHDX y uso en entornos de máquina virtual.
  Grave fallo de seguridad de Gemini en Chrome: qué ha pasado y cómo protegerte

Limitaciones e inconvenientes de BitLocker

Naturalmente, no todo son flores. Al valorar BitLocker frente a otros sistemas de cifrado, hay que considerar varias desventajas y restricciones que pueden ser determinantes según el caso de uso:

  • Disponibilidad limitada por edición: si tienes Windows 10/11 Home, no puedes usar BitLocker estándar. Esto deja fuera a muchos usuarios domésticos salvo que actualicen a una edición superior.
  • Dependencia de hardware compatible: para explotar todo el potencial (TPM, arranque seguro, Network Unlock…) necesitas equipos modernos y bien configurados. En parques mixtos o antiguos, la implantación puede ser desigual.
  • Riesgo de bloqueo por pérdida de claves: si se pierde la clave de recuperación y no se ha hecho copia en AD, Entra ID, archivo externo o papel, los datos se vuelven irrecuperables.
  • Posibles problemas en cambios de hardware o actualizaciones: ciertos cambios de placa base, firmware o configuración UEFI pueden disparar el modo de recuperación. A veces hay que suspender temporalmente BitLocker al actualizar BIOS o realizar upgrades mayores de Windows.
  • Compatibilidad limitada con otros sistemas operativos: acceder a unidades BitLocker desde Linux o macOS requiere herramientas específicas, con soporte desigual, lo que complica entornos heterogéneos.
  • Percepción de impacto en rendimiento en equipos antiguos o de gama baja: aunque esté optimizado, cifrar/descifrar consume CPU y E/S; en hardware modesto puede notarse más.
  • No es una solución DLP por sí misma: cifra el dispositivo, pero no controla por dónde viaja la información una vez desbloqueada. No evita que un usuario copie datos a un medio sin cifrar o los suba a un servicio externo.
  • Posibles incompatibilidades con ciertas herramientas: algunas utilidades de copia de seguridad, antivirus o gestores de arranque antiguos pueden interferir con BitLocker o con su cadena de arranque segura.

Activación y desactivación de BitLocker: interfaz gráfica y CMD

En un equipo compatible, activar BitLocker es relativamente sencillo. Desde la interfaz gráfica se hace a través de Panel de control > Sistema y seguridad > Cifrado de unidad BitLocker, eligiendo la unidad a cifrar y definiendo el método de desbloqueo (contraseña, PIN, TPM, USB…).

Durante el asistente, el sistema pide guardar la clave de recuperación (en la cuenta Microsoft, en un archivo, en AD, imprimirla…) y permite elegir entre cifrar solo el espacio usado o todo el disco. También se ofrece realizar una comprobación del sistema antes de iniciar el cifrado para verificar que el equipo puede arrancar correctamente con BitLocker habilitado.

por qué activar el Cifrado de unidad BitLocker
Artículo relacionado:
Cifrado de unidad BitLocker: por qué activar la aceleración por hardware

Desde la línea de comandos, con manage-bde.exe, se pueden ejecutar tareas avanzadas: activar el cifrado en una unidad dada, añadir o cambiar contraseñas de desbloqueo, generar claves de recuperación, bloquear o desbloquear volúmenes, suspender la protección para actualizaciones, etc. Esto es especialmente útil en despliegues automatizados o scripts de administración.

Desactivar BitLocker implica descifrar la unidad. Se puede hacer desde el mismo panel de BitLocker (opción “Desactivar BitLocker”) o desde CMD. El proceso puede tardar bastante en discos grandes, pero al finalizar, los datos quedan en claro y la unidad se comporta como cualquier otra sin cifrado.

Impacto en rendimiento, tiempos de cifrado y comportamiento operativo

Uno de los miedos habituales es saber cuánto “lastra” BitLocker al equipo. En la práctica, en equipos modernos con CPU que soporta aceleración AES, el impacto suele ser muy bajo: el cifrado se realiza a nivel de bloque y el sistema solo cifra/descifra lo que realmente se lee o escribe.

  Linus Torvalds confirma que el próximo núcleo será Linux 7.0

El cifrado inicial sí puede llevar tiempo, sobre todo si se decide cifrar todo el disco y no solo el espacio usado. Hablamos de minutos u horas según la capacidad y la velocidad del medio. Si el proceso se interrumpe por apagado, el cifrado se reanuda al volver a encender sin perder datos.

BitLocker no vuelve a cifrar todo cada vez que se lee o escribe: trabaja sobre sectores específicos en tiempo real. Tampoco impide el uso de funciones como instantáneas de volumen, copias de seguridad o VHDs, siempre que el software sea compatible.

BitLocker en entornos corporativos: despliegue, administración y DLP

En una organización, la gracia de BitLocker está en que se puede automatizar casi todo el ciclo de vida del cifrado: activación, políticas de complejidad de PIN, backup de claves en AD o Entra ID, suspensión programada para actualizaciones, etc.

Mediante GPO o Intune es posible, por ejemplo, obligar a que todas las unidades del sistema se cifren, exigir TPM+PIN para portátiles, definir que las claves de recuperación se guarden automáticamente en Active Directory y evitar que los usuarios almacenen datos en discos sin cifrar.

En dispositivos unidos a Microsoft Entra ID, Windows intenta subir las claves de recuperación a la nube corporativa. Si la política lo exige, no reanuda la protección si no consigue hacer copia de esa clave, lo que convierte a Entra ID en un repositorio central de recuperación.

Sin embargo, desde una óptica DLP pura, BitLocker se queda corto: no analiza contenido, no bloquea exfiltraciones por correo, nube o aplicaciones, ni controla el uso de datos una vez que el usuario ha iniciado sesión. Por eso, en proyectos de DLP, BitLocker suele ser una pieza más del puzzle, encargada de proteger el dispositivo, mientras que el control de flujo de datos se deja a soluciones específicas de DLP o CASB.

Cuándo conviene usar otras soluciones de cifrado además de BitLocker

Hay escenarios en los que, aunque BitLocker sea excelente para proteger el disco, resulta conveniente complementarlo con cifrado adicional a nivel de archivo o contenedor para mantener la protección cuando los datos salen de la unidad.

Algunos ejemplos prácticos donde brillan herramientas de cifrado “portátil”:

  • Enviar documentación muy sensible por correo o compartirla mediante servicios en la nube.
  • Transportar datos en un pendrive FAT32 o exFAT que vaya a pasar por muchos equipos distintos.
  • Subir información crítica a plataformas como OneDrive, Google Drive o Dropbox, asegurándose de que solo se descifre en dispositivos autorizados.

En esos casos, es habitual recurrir a:

  • Contenedores cifrados tipo VeraCrypt o Cryptomator: se crea un archivo grande que actúa como “disco virtual” cifrado; donde va él, va la protección, independientemente del sistema de archivos.
  • Archivos comprimidos 7-Zip/ZIP con cifrado AES-256 real y contraseña robusta, no solo “protegidos” con clave. Bien configurados, ofrecen una protección muy sólida mientras la contraseña sea larga y compleja.
  • Servicios de nube con cifrado de extremo a extremo, donde los datos se cifran antes de salir del equipo y solo se descifran en clientes autorizados.

De esa forma, aunque BitLocker siga cumpliendo su papel en el dispositivo, los datos mantienen una segunda capa de cifrado independiente del sistema operativo cuando se mueven o se comparten.

Artículo relacionado:
Porqué debemos cifrar la información del pendrive USB

Vista en conjunto, la fotografía de BitLocker es bastante clara: ofrece un cifrado de disco completo muy robusto, profundamente integrado en Windows, con soporte para TPM, gestión centralizada y un impacto razonable en el rendimiento, lo que lo convierte en una apuesta casi obligada para portátiles corporativos, equipos con datos sensibles y unidades externas que no deban quedar en claro en caso de robo o pérdida.

Al mismo tiempo, sus limitaciones en ediciones Home, la dependencia de hardware compatible, los posibles sustos al perder claves de recuperación y, sobre todo, el hecho de que no impide que los datos salgan descifrados por USB, correo o nube, hacen que en muchos proyectos de seguridad y DLP sea imprescindible complementar BitLocker con políticas, controles adicionales y, cuando toca, soluciones de cifrado a nivel de archivo o contenedor que mantengan la protección más allá del propio disco. Comparte la información para que otros usuarios conzocan del tema.