BitLocker es una herramienta integrada en Windows que le permite cifrar un disco duro completo para mejorar la seguridad. A continuación, le indicamos cómo configurarlo.
Cuando TrueCrypt cerró polémicamente la tienda, recomendaron a sus usuarios pasar de TrueCrypt a usar BitLocker o Veracrypt. BitLocker ha existido en Windows el tiempo suficiente para ser considerado maduro, y es un producto de cifrado generalmente bien considerado por los profesionales de la seguridad. En este artículo, vamos a hablar sobre cómo puede configurarlo en su PC.
Nota: El Cifrado de unidad BitLocker y BitLocker To Go requieren una edición Professional o Enterprise de Windows 8 o 10, o la versión Ultimate de Windows 7. Sin embargo, a partir de Windows 8.1, las ediciones Home y Pro de Windows incluyen una función de “Cifrado de dispositivos” (una característica también incluida en Windows 10) que funciona de manera similar. Recomendamos el Cifrado de dispositivos si el equipo lo admite, BitLocker para usuarios profesionales que no pueden usar el Cifrado de dispositivos y VeraCrypt para las personas que usan una versión home de Windows en la que el Cifrado de dispositivos no funcionará.
¿De qué vamos a hablar?
¿Cifrar una unidad completa o crear un contenedor cifrado?
Muchas guías hablan sobre la creación de un contenedor de BitLocker que funcione de manera muy similar al tipo de contenedor cifrado que puede crear con productos como TrueCrypt o Veracrypt. Es un nombre un poco inapropiado, pero puedes lograr un efecto similar. BitLocker funciona cifrando unidades enteras. Eso podría ser la unidad del sistema, una unidad física diferente o un disco duro virtual (VHD) que existe como un archivo y está montado en Windows.
La diferencia es en gran medida semántica. En otros productos de cifrado, normalmente se crea un contenedor cifrado y, a continuación, se monta como una unidad en Windows cuando se necesita usarlo. Con BitLocker, se crea un disco duro virtual y, a continuación, se cifra. Si desea usar un contenedor en lugar de, por ejemplo, cifrar su sistema o unidad de almacenamiento existente, consulte nuestra guía para crear un archivo contenedor cifrado con BitLocker.
Para este artículo, nos concentraremos en habilitar BitLocker para una unidad física existente.
Cómo cifrar una unidad con BitLocker
Para usar BitLocker para una unidad, todo lo que realmente tiene que hacer es habilitarlo, elegir un método de desbloqueo (contraseña, PIN, etc.) y luego establecer algunas otras opciones. Sin embargo, antes de entrar en eso, debe saber que usar el cifrado de disco completo de BitLocker en un unidad del sistema generalmente requiere un equipo con un Módulo de plataforma segura (TPM) en la placa base de su PC. Este chip genera y almacena las claves de cifrado que usa BitLocker. Si su PC no tiene un TPM, puede usar la directiva de grupo para habilitar el uso de BitLocker sin un TPM. Es un poco menos seguro, pero aún más seguro que no usar cifrado en absoluto.
Puede cifrar una unidad que no sea del sistema o una unidad extraíble sin TPM y sin tener que habilitar la configuración de directiva de grupo.
En ese sentido, también debe saber que hay dos tipos de cifrado de unidad BitLocker que puede habilitar:
- Cifrado de unidad BitLocker: A veces denominada bitLocker, esta es una característica de “cifrado de disco completo” que cifra una unidad completa. Cuando se inicia el equipo, el cargador de arranque de Windows se carga desde la partición reservada del sistema y el cargador de arranque le solicita el método de desbloqueo, por ejemplo, una contraseña. A continuación, BitLocker descifra la unidad y carga Windows. Por lo demás, el cifrado es transparente: sus archivos aparecen como lo harían normalmente en un sistema no cifrado, pero se almacenan en el disco de forma cifrada. También puede cifrar otras unidades que no sean solo la unidad del sistema.
- BitLocker para usar: Puede cifrar unidades externas, como unidades flash USB y discos duros externos, con BitLocker To Go. Se le pedirá su método de desbloqueo, por ejemplo, una contraseña, cuando conecte la unidad a su computadora. Si alguien no tiene el método de desbloqueo, no puede acceder a los archivos de la unidad.
En Windows 7 a 10, realmente no tiene que preocuparse por hacer la selección usted mismo. Windows controla las cosas entre bastidores y la interfaz que usará para habilitar BitLocker no se ve diferente. Si termina desbloqueando una unidad cifrada en Windows XP o Vista, verá la marca BitLocker to Go, por lo que pensamos que al menos debería saberlo.
Entonces, con eso fuera del camino, revamos cómo funciona esto realmente.
Paso uno: Habilitar BitLocker para una unidad
La forma más fácil de habilitar BitLocker para una unidad es hacer clic con el botón secundario en la unidad en una ventana del Explorador de archivos y, a continuación, elegir el comando “Activar BitLocker”. Si no ve esta opción en su menú contextual, es probable que no tenga un edi Pro o Enterprisetion de Windows y tendrá que buscar otra solución de cifrado.
Es así de simple. El asistente que aparece le guía a través de la selección de varias opciones, que hemos desglosado en las secciones que siguen.
Paso dos: elija un método de desbloqueo
La primera pantalla que verá en el asistente “Cifrado de unidad BitLocker” le permite elegir cómo desbloquear su unidad. Puede seleccionar varias formas diferentes de desbloquear la unidad.
Si está cifrando la unidad del sistema en un equipo que No tener un TPM, puede desbloquear la unidad con una contraseña o una unidad USB que funcione como una llave. Seleccione su método de desbloqueo y siga las instrucciones para ese método (ingrese una contraseña o conecte su unidad USB).
Si su computadora hace tenga un TPM, verá opciones adicionales para desbloquear la unidad de su sistema. Por ejemplo, puede configurar el desbloqueo automático al inicio (donde su computadora toma las claves de cifrado del TPM y descifra automáticamente la unidad). También puede usar un PIN en lugar de una contraseña, o incluso elegir opciones biométricas como una huella digital.
Si está cifrando una unidad que no es del sistema o una unidad extraíble, solo verá dos opciones (ya sea que tenga un TPM o no). Puede desbloquear la unidad con una contraseña o una tarjeta inteligente (o ambas).
Paso tres: Copia de garantía de su clave de recuperación
BitLocker le proporciona una clave de recuperación que puede usar para acceder a sus archivos cifrados en caso de que alguna vez pierda su clave principal, por ejemplo, si olvida su contraseña o si el equipo con TPM muere y tiene que acceder a la unidad desde otro sistema.
Puede guardar la clave en su cuenta Microsoft, una unidad USB, un archivo o incluso imprimirla. Estas opciones son las mismas tanto si está cifrando una unidad del sistema como si no es del sistema.
Si hace una copia de seguridad de la clave de recuperación de su cuenta Microsoft, puede acceder a la clave más adelante en https://onedrive.live.com/recoverykey. Si utiliza otro método de recuperación, asegúrese de mantener esta clave segura: si alguien obtiene acceso a ella, podría descifrar su unidad y omitir el cifrado.
También puede hacer una copia de respaldo de su clave de recuperación de varias maneras si lo desea. Simplemente haga clic en cada opción que desee usar a su vez y luego siga las instrucciones. Cuando haya terminado de guardar sus claves de recuperación, haga clic en “Siguiente” para continuar.
Nota: Si está cifrando una unidad USB u otra unidad extraíble, no tendrá la opción de guardar su clave de recuperación en una unidad USB. Puede utilizar cualquiera de las otras tres opciones.
Paso cuatro: Cifrar y desbloquear la unidad
BitLocker cifra automáticamente los archivos nuevos a medida que los agrega, pero debe elegir lo que sucede con los archivos que se encuentran actualmente en la unidad. Puede cifrar toda la unidad, incluido el espacio libre, o simplemente cifrar los archivos de disco utilizados para acelerar el proceso. Estas opciones también son las mismas tanto si está cifrando una unidad del sistema como si no es del sistema.
Si está configurando BitLocker en un equipo nuevo, cifre solo el espacio en disco usado, ya que es mucho más rápido. Si está configurando BitLocker en una PC que ha estado usando durante un tiempo, debe cifrar toda la unidad para asegurarse de que nadie pueda recuperar archivos eliminados.
Cuando haya hecho su selección, haga clic en el botón “Siguiente”.
Paso cinco: elige un modo de cifrado (solo Windows 10)
Si usas Windows 10, verás una pantalla adicional que te permite elegir un método de cifrado. Si usas Windows 7 u 8, pasa al siguiente paso.
Windows 10 introdujo un nuevo método de cifrado llamado XTS-AES. Proporciona una integridad y un rendimiento mejorados sobre el AES utilizado en Windows 7 y 8. Si sabe que la unidad que está cifrando solo se usará en PC con Windows 10, continúe y elija la opción “Nuevo modo de cifrado”. Si cree que podría necesitar usar la unidad con una versión anterior de Windows en algún momento (especialmente importante si se trata de una unidad extraíble), elija la opción “Modo compatible”.
Cualquiera que sea la opción que elija (y nuevamente, estas son las mismas para unidades del sistema y no del sistema), continúe y haga clic en el botón “Siguiente” cuando haya terminado, y en la siguiente pantalla, haga clic en el botón “Iniciar cifrado”.
Paso seis: Terminar
El proceso de cifrado puede tardar desde segundos hasta minutos o incluso más, dependiendo del tamaño de la unidad, la cantidad de datos que esté cifrando y si eligió cifrar el espacio libre.
Si va a cifrar la unidad del sistema, se le pedirá que ejecute una comprobación del sistema BitLocker y reinicie el sistema. Asegúrese de que la opción esté seleccionada, haga clic en el botón “Continuar” y luego reinicie su PC cuando se le solicite. Después de que el PC arranca de nuevo por primera vez, Windows cifra la unidad.
Si está cifrando un no-system o unidad extraíble, Windows no necesita reiniciarse y el cifrado comienza inmediatamente.
Cualquiera que sea el tipo de unidad que esté cifrando, puede comprobar el icono Cifrado de unidad BitLocker en la bandeja del sistema para ver su progreso, y puede continuar usando su equipo mientras las unidades se cifran, simplemente funcionará más lentamente.
Desbloqueo de la unidad
Si la unidad del sistema está cifrada, desbloquearla depende del método que haya elegido (y de si el equipo tiene un TPM). Si tiene un TPM y elige tener la unidad desbloqueada automáticamente, no notará nada diferente, simplemente arrancará directamente en Windows como siempre. Si elige otro método de desbloqueo, Windows le pedirá que desbloquee la unidad (escribiendo su contraseña, conectando su unidad USB o lo que sea).
Y si ha perdido (u olvidado) su método de desbloqueo, presione Escape en la pantalla de solicitud para ingresar su clave de recuperación.
Si ha cifrado una unidad que no es del sistema o extraíble, Windows le pedirá que desbloquee la unidad cuando acceda por primera vez después de iniciar Windows (o cuando la conecte a su PC si es una unidad extraíble). Escriba su contraseña o inserte su tarjeta inteligente, y la unidad debe desbloquearse para que pueda usarla.
En el Explorador de archivos, las unidades cifradas muestran un candado dorado en el icono (a la izquierda). Ese bloqueo cambia a gris y aparece desbloqueado cuando desbloquea la unidad (a la derecha).
Puede administrar una unidad bloqueada (cambiar la contraseña, desactivar BitLocker, hacer una copia de seguridad de la clave de recuperación o realizar otras acciones) desde la ventana del panel de control de BitLocker. Haga clic con el botón secundario en cualquier unidad cifrada y, a continuación, seleccione “Administrar BitLocker” para ir directamente a esa página.
Como todo el cifrado, BitLocker agrega algo de sobrecarga. Preguntas frecuentes oficiales de Microsoft sobre BitLocker dice que “Generalmente impone una sobrecarga de rendimiento porcentual de un solo dígito”. Si el cifrado es importante para usted porque tiene datos confidenciales, por ejemplo, una computadora portátil llena de documentos comerciales, la seguridad mejorada vale la pena la compensación de rendimiento.