¿Qué es BitLocker y cómo funciona?

Mantener archivos confidenciales en un almacenamiento digital siempre conlleva el riesgo de que, en algún momento, puedan caer en manos equivocadas. Ante las constantes amenazas asociadas a los gadgets, especialmente a los portátiles, como las computadoras portátiles o memorias USB, los desarrolladores buscan brindar tranquilidad a los usuarios con introducir diversas medidas de seguridad. El sistema operativo Windows, por su parte, ofrece BitLocker que se ha convertido en una opción popular entre las personas y empresas que buscan una forma sólida de proteger sus datos "en reposo". Aquí le ofrecemos una explicación general de dicha tecnología.

Última actualización:
el 02 de junio, 2023

Tiempo de lectura: 7 min

¿Qué es BitLocker?

BitLocker es una tecnología de cifrado de Microsoft que está incorporada en el sistema operativo Windows y suministrada automáticamente como parte de instalación. Ella protege el contenido de volúmenes lógicos completos cifrándolos con los algoritmos criptográficos avanzados. La información cifrada no se puede decodificar y, por lo tanto, es imposible acceder a ella, a menos que el usuario ingrese las credenciales correctas que desbloqueen el almacenamiento. De este modo, el contenido queda protegido contra robo o acceso por parte de terceros no autorizados. Una vez ingresadas las credenciales correctas, el almacenamiento se podrá usar de manera normal.

BitLocker sirve para proteger tanto el disco duro interno o SSD de la PC, como varios dispositivos de almacenamiento de datos externos: memorias USB, tarjetas de memoria y otros medios formateados con los sistemas de archivos NTFS, FAT32 o exFAT de Microsoft. La versión destinada a almacenamientos extraíbles también se conoce como BitLocker To Go.

La tecnología en sí se basa en la especificación del Estándar de cifrado avanzado (Advanced Encryption Standard) con una clave de tamaño configurable de 128 o 256 bits. A partir de Windows 10 y versiones posteriores, se soportan el modo de operación de cifrado por bloques (CBC o cipher-block chaining) y el modo de robo de texto cifrado (XTS o ciphertext stealing).

BitLocker se puede implementar como una solución de cifrado por hardware o una basada puramente en software. En el primer caso, se usa TPM (Módulo de plataforma de confianza, del inglés Trusted Platform Module), un microchip especial integrado o agregado a la placa base de una PC y diseñado para llevar a cabo operaciones de cifrado. TPM es responsable de generar, almacenar y administrar las claves de cifrado de BitLocker. Es posible configurarlo para que desbloquee la unidad por sí solo en el momento del arranque o para que opere con otras solucions de seguridad, como un número de identificación personal (PIN) o un dispositivo extraíble que almacena una clave de inicio.

La segunda implementación está destinada a equipos sin TPM. En este caso, se solicita al usuario que configure un mecanismo de protección de BitLocker para la unidad dada:

  • Contraseña de usuario – una cadena de caracteres especificada por el usuario que se debe ingresar cada vez que inicia Windows o accede a un dispositivo extraíble cifrado por BitLocker.
  • Clave de recuperación de BitLocker – una secuencia numérica única de 48 dígitos que el sistema crea automáticamente, cuando se activa BitLocker. Se requiere esta clave para desbloquear el almacenamiento cifrado en caso de algunas actualizaciones específicas, problemas de seguridad o cuando la contraseña de usuario se pierda o no esté disponible. Dependiendo de la versión del sistema operativo, Windows puede ofrecer diferentes formas de guardar esta clave para uso futuro.
  • Archivo de clave de inicio – un archivo *.bek oculto almacenado en un dispositivo USB externo, equivalente a la clave de recuperación de BitLocker. Este dispositivo debe estar presente al iniciar el sistema operativo para que se realice el descifrado automático de unidad sin ingresar contraseña.

Una vez habilitado el cifrado de BitLocker, los datos del volumen protegido se convierten en un "galimatías" incomprensible. Para este propósito, BitLocker emplea una clave especial que en realidad nunca se expone al usuario (denominada Clave de cifrado de volumen completo, del inglés, Full Volume Encryption Key o FVEK). Esta clave se cifra con la ayuda de otra clave secreta que también se almacena de forma cifrada en los metadatos del volumen, o incluso en varias copias cifradas (Clave maestra de volumen, del inglés, Volume Master Key o VMK). Cuando el usuario ingresa la contraseña correcta, la clave de recuperación de BitLocker o la clave de inicio, esta información se usa para descifrar una copia dedicada de la clave secundaria. Esta clave, a su vez, descifra la clave principal que permite hacer el contenido del volumen legible de nuevo. Aún así, un procedimiento de transformación tan complejo como este puede completarse con éxito siempre que los metadatos críticos de BitLocker permanezcan intactos. Si se dañan gravemente como resultado de una falla o corrupción del almacenamiento cifrado, ya no será posible leer sus datos, incluso después de ingresar las credenciales válidas.

¿Cómo se activa en un dispositivo?

BitLocker es una función nativa de Windows, lo que hace que su activación sea sin problemas, con muy poca o incluso sin ninguna intervención del usuario. Hay varias formas de activar ella:

  • Los dispositivos modernos en Windows que cumplen con ciertos requisitos previos (compatibilidad con Modern Standby, HSTI, etc.) a menudo están cifrados de manera predeterminada. La protección se activa cuando el usuario inicia sesión en su cuenta de Microsoft o de Azure Active Directory. En este caso, no es necesario configurar una contraseña de usuario, ya que la clave de recuperación de BitLocker se guarda automáticamente en la cuenta en línea respectiva.
  • El usuario puede activar BitLocker a mano a través del Panel de control o la aplicación Configuración. En este caso, por lo general, es libre de elegir cómo guardar la clave de recuperación de BitLocker.

¿Dónde encontrar la clave de recuperación de BitLocker?

Como se ha mencionado ya, la clave de recuperación de BitLocker se genera automáticamente en el momento de activación del cifrado. Es absolutamente imprescindible hacer una copia de seguridad de esta clave de 48 dígitos para poder recuperarla en el futuro. Dicha copia se puede guardar de varias maneras, según las preferencias del usuario y la versión de Windows empleada. En caso de que tenga problemas con encontrarla, se debe intentar buscar en los siguientes lugares:

  • Cuenta de Microsoft

El lugar más probable para encontrar la clave de recuperación de BitLocker es la cuenta de Microsoft del usuario que activó la función de cifrado. Se debe iniciar sesión en esta cuenta en línea, ir a la sección "Devices" (Dispositivos) y hacer clic en "View details" (Ver detalles) bajo la computadora correspondiente. En la sección "BitLocker data protection" (Protección de datos de BitLocker), se debe usar la configuración "Manage recovery keys" (Administrar claves de recuperación). Después de una verificación de identidad exitosa, se mostrará una lista de todas las claves de recuperación disponibles para esta PC en particular, junto con sus ID, fechas y nombres de dispositivos.

  • Archivo de texto

La clave de recuperación de BitLocker se puede almacenar en un archivo *.txt en otra unidad no cifrada o en una carpeta de red compartida. Por lo general, se guarda con el nombre que comienza con "BitLocker Recovery key" (Clave de recuperación de BitLocker) seguido de una secuencia de caracteres alfanuméricos. Este nombre se puede ingresar en la barra de búsqueda para encontrar coincidencias. Este archivo también contiene la ID utilizada para identificar esta misma clave.

  • Memoria USB

La Clave de inicio es análoga a la clave de recuperación, pero se guarda en una unidad flash USB en forma de un archivo con la extensión *.bek. El nombre de dicho archivo generalmente parece una secuencia alfanumérica aleatoria. Sin embargo, este archivo está oculto y, para hacerlo visible, hay que habilitar la opción "Mostrar archivos, carpetas y unidades ocultos" para el Explorador de archivos.

  • En formato impreso

La clave de recuperación de BitLocker se puede imprimir y almacenar como documento impreso. Si no dispone de una impresora, puede guardarla como *.pdf y subir este documento en su cuenta de OneDrive o Google Drive.

  • Cuenta de Azure Active Directory

En el caso de una computadora corporativa, la clave de recuperación de BitLocker puede almacenarse en una cuenta de Active Directory. Se debe iniciar sesión en el portal de Microsoft Azure e ir a "Azure Active Directory" -> "Devices" (Dispositivos) -> "All devices" (Todos los dispositivos). Después de eso, se puede usar el cuadro de búsqueda para buscar el dispositivo necesario por su nombre/número de serie. Cuando se selecciona el dispositivo encontrado, se pueden usar las opciones "BitLocker keys (Preview)" (Claves de BitLocker (vista previa)) y "Show Recovery Key" (Mostrar clave de recuperación) para obtener la clave.

La correspondencia de la clave de recuperación de BitLocker en particular se puede verificar al comparar el inicio del identificador de la clave de recuperación de BitLocker con el valor "Key ID" (ID de la clave) que se muestra para la unidad.

Los siguientes productos de software permiten acceder y recuperar datos de los almacenamientos que emplean la tecnología antes descrita:

* El cifrado de BitLocker realizado por hardware no es compatible con el software debido a que implica el uso de mecanismos de protección física que no se pueden manejar mediante programas.