Trucos Windows .Com
Nombre
Sistema Operativo
Leído
Tutoriales Windows 10
Encriptar unidades de disco o USB en Windows
Windows 10
6732 veces

Encriptar unidades de disco o USB en Windows

  1. Como trabaja BitLocker
  2. Requisitos
  3. Cambiar a una encriptación más segura de 256bits
  4. Encriptar unidades sin TPM
    1. Sistema Operativo
    2. Unidades de disco internas
    3. Unidades externas
  5. Opciones de cifrado en las unidades
  6. Recuperar unidad con clave de recuperación

 

1. Como trabaja BitLocker

BitLocker es el programa de cifrado de Microsoft que proporciona cifrado de disco completo de las unidades de disco duro como de las unidades flash USB.

Cifrar o encriptar lo que hace es mantener nuestro equipo protegido, para que nadie que no conozca la contraseña pueda acceder a los datos, así en caso de pérdida o robo no se podría acceder a los archivos de la unidad.

Para ello se utilizan algoritmos que modifican los datos originales, dejándolos de tal manera que ningún programa sea capaz de leerlos a no ser que tengan la contraseña, con la cual podrían descifrar los datos y devolverlos a su estado original.

En Windows 10 tenemos dos métodos para encriptar los datos, el cifrado con TPM (hardware) y el cifrado de BitLocker estándar(software).

TMP (Módulo de plataforma confiable) es un chip que está en la placa madre, el cual genera claves criptográficas de manera segura, y tiene una clave RSA única y secreta que se guarda en el chip en su proceso de producción.

Este método solo podemos usarle si nuestra placa trae el chip TMP, lo que hace es que cuando cifra los datos del disco duro, almacena las claves de cifrado en el chip TPM.

Cuando una placa madre no cuenta con el chip para TPM, puede seguir usando el cifrado de BitLocker, pero en vez de guardar las claves de cifrado en el TMP lo hará en otra unidad y para ello hay que cambiar una política grupal en Windows.

Siendo mejor el cifrado por TPM ya que lo hace de manera nativa y la bajada de rendimiento es prácticamente nula.

Podemos encontrarnos en tres escenarios a la hora de cifrar unidades sin TPM:

  • Cifrar la unidad en que se encuentra el sistema operativo
  • Cifrar otras unidades de disco internas
  • Cifrar unidades externas como un USB

Cuando Windows 10 formatea nuestro disco duro para instalar Windows, ya nos crea una unidad oculta llamada "Reservado para el sistema", la cual es necesaria para usar BitLocker.

Si es para otras unidades internas también necesita dicha unidad.

Para unidades externas como un USB, también es necesaria esa unidad pero va dentro de la propia memoria USB, para así poder llevar la memoria USB a cualquier equipo y que pueda tener acceso a ella.

 

2.- Requisitos

Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM),el equipo debe tener TPM 1.2 o posterior. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.

Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin un TPM no requiere firmware compatible con TCG.

El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.

El TPM 2,0 no es compatible con los modos heredado y CSM del BIOS. Los dispositivos con TPM 2,0 deben tener el modo de BIOS configurado solo con UEFI nativo. Las opciones de Legacy and Compatibility support Module (CSM) deben estar deshabilitadas. Para una mayor seguridad, habilita la característica de arranque seguro.

El disco duro necesita dos particiones, una del sistema operativo y otra unidad del sistema que no estará cifrada, que deberá estar formateada con FAT32 en equipos con UEFI o con NTFS en equipos con BIOS, que deberá contar con un tamaño aproximado de 350MB.

Tener Windows en sus versiones Professional y Enterprise además de pertenecer al grupo de administradores local.

Tener Windows 10 versión 1511 o superior para tener el nuevo cifrado XTS-AES.

 

3.- Cambiar a una encriptación más segura de 256bits

Si tenemos Windows actualizado usara el algoritmo XTS-AES con una fuerza de cifrado predeterminada de 128 bits, la cual podremos cambiarla a 256bits.

Al ser de 256bits lograremos darle mucha más seguridad, el problema es que hace más lento el proceso de cifrar y descifrar.

Pulsamos la tecla de Windows en nuestro teclado, escribimos "Editar directiva de grupo" y pulsamos enter.

Windows 10Editar directiva de grupo

Dentro del Editor de directivas de grupo local nos vamos a la siguiente ruta:

Directiva Equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker

Buscamos la directiva:

Elegir método de cifrado e intensidad de cifrado de unidad (Windows 10 [versión 1511] y posteriores)

Y hacemos doble clic sobre ella.

Editor de directivas de grupo localElegir método de cifrado e intensidad de cifrado de unidad

En la ventana que aparece, marcamos la casilla de "Habilitada". Y dentro de opciones podemos cambiar el método de cifrado.

Tanto para el sistema operativo como para las unidades fijas viene por defecto en XTS-AES de 128bits y para las unidades extraíbles como los USB en AES-CBC de 128 bits.

En las unidades externas usa AES-CBC para tener una mayor compatibilidad.

Así que lo dejamos tal cual, pero cambiándolo a 256 bits y pulsamos en "Aceptar".

Elegir método de cifrado e intensidad de cifrado de unidadHabilitada, XTS-AES de 256 bits y AES-CBC de 256 bits

 

4.- Encriptar unidades sin TPM

Cuando intentamos cifrar Windows en un ordenador que su placa madre no cuenta con TPM, aparecerá el siguiente mensaje de error.

Cifrado de unidad BitLockerEste dispositivo no puede usar un Módulo de plataforma segura.

Para solucionarlo, debemos de indicar a Windows 10 que no use TMP, para ello, pulsamos la tecla de Windows en nuestro teclado, escribimos "Editar directiva de grupo" y pulsamos enter.

Windows 10Editar directiva de grupo

Dentro del Editor de directivas de grupo local nos vamos a la siguiente ruta:

Directiva Equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo

Buscamos la directiva:

Requerir autenticación adicional al iniciar

Y hacemos doble clic sobre ella.

Editor de directivas de grupo localRequerir autenticación adicional al iniciar

En la ventana que aparece, marcamos la casilla de "Habilitada". Y dentro de opciones no tenemos que cambiar nada, ya que por defecto aparece activada la casilla correspondiente con la configuración necesaria.

Requerir autenticación adicional al iniciarHabilitada, permitir BitLocker sin un TPM compatible

 

4.1- Sistema Operativo

Para activar BitLocker en la unidad del sistema operativo en Windows 10, podemos ir al explorador de archivos y sobre la unidad (c:) dar al botón derecho del ratón y seleccionar "Activar BitLocker".

Explorador de archivosActivar BitLocker en Disco local c:

O también podemos ir a la configuración de cifrado donde veremos todas las unidades a las que podemos activar BitLocker.

Pulsamos la tecla de Windows de nuestro teclado, escribimos "Administrar BitLocker" y pulsamos enter.

Windows 10Administrar BitLocker

Dentro de la sección "Unidad de sistema operativo", vemos que la unidad c: tiene el BitLocker desactivado, así que pulsamos sobre el texto "Activar BitLocker".

Cifrado de unidad BitLockerUnidad de sistema operativo - Activar BitLocker

Ahora debemos de elegir como vamos a desbloquear la unidad, mediante una unidad flash USB que habrá que meter cada vez que inicia el equipo o metiendo una contraseña, en este caso elegimos la opción "Escribir una contraseña" por comodidad.

Cifrado de unidad BitLockerDesbloquear la unidad en el inicio - Escribir una contraseña

Escribimos una contraseña segura que incluya mayúsculas y minúsculas, números, símbolos y espacios, en ambas cajas de texto y pulsamos en el botón siguiente.

Cifrado de unidad BitLockerContraseña para desbloquear esta unidad

Ya tenemos la contraseña con la que desbloquearemos la unidad del sistema operativo para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.

Para ello nos da cuatro opciones:

  • Guardar en la cuenta Microsoft
  • Guardar en una unidad flash USB
  • Guardar en un archivo
  • Imprimir la clave de recuperación

En este caso, guardaremos la clave de recuperación en un archivo.

Cifrado de unidad BitLockerCopia de seguridad de la clave de recuperación - Guardar en un archivo

Donde elegiremos la ruta de donde guardarlo y pulsamos en el botón "Guardar", no podremos guardarlo en la misma unidad c: ya que al estar cifrada si no recordamos nuestra contraseña no podremos acceder a c: para buscar el archivo con la clave de recuperación.

Guardar clave de recuperación de BitLocker comoClave de recuperación de BitLocker B64E14F6

Podemos usar también los otros métodos para almacenar la clave, una vez terminemos, pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerSe guardó la clave de recuperación

Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.

Si es una unidad nueva no tendrá ningún dato personal nuestro, si es un equipo nuevo tampoco tendrá ningún dato nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.

En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.

Esto es así, porque aunque veamos que el espacio esta vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.

Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerElegir qué cantidad de la unidad desea cifrar

Marcamos la casilla de ejecutar la comprobación del sistema BitLocker para asegurarnos que el método de desbloqueo funciona y pulsamos en el botón de "Continuar".

Cifrado de unidad BitLockerListo para cifrar esta unidad - Ejecutar la comprobación del sistema de BitLocker

Pulsamos en el botón "Reiniciar ahora", para que se reinicie y se inicie el proceso.

Cifrado de unidad BitLockerDebe reiniciarse el equipo - Reiniciar ahora

Introducimos nuestra contraseña y pulsamos la tecla Entrar.

BitLocker en arranqueEscriba la contraseña para desbloquear esta unidad

Una vez se reinicia, podemos ver un icono al lado del reloj de Windows, que al pulsarlo podemos ver qué porcentaje de cifrado lleva.

Cifrado de unidad BitLockerCifrando... Unidad C: 80.2% completado

Y nos mostrara un aviso donde nos indica que se completó el cifrado de c:, donde pulsamos en el botón de "Cerrar".

Cifrado de unidad BitLockerSe completó el cifrado de C:

Ahora en el explorador de archivos nos aparecerá un icono con un candado con su llave, para saber que la unidad del sistema operativo está cifrada.

Explorador de archivosUnidad sistema operativo cifrada

 

4.2- Unidades de disco internas

Abrimos la pantalla para administrar BitLocker, para ello pulsamos la tecla de Windows de nuestro teclado y escribimos "Administrar BitLocker" y pulsamos enter.

Windows 10Administrar BitLocker

Dentro de la sección de unidades de datos fijas, buscamos el nombre y letra de la unidad que queremos cifrar y pulsamos en la flecha hacia abajo para expandirlo, a continuación pulsamos sobre el texto "Activar BitLocker".

Cifrado de unidad BitLockerUnidades de datos fijas - Activar BitLocker

Elegimos como vamos a desbloquear la unidad, en este caso por contraseña, marcamos la casilla e introducimos la contraseña, la cual volvemos a repetir para confirmarla y pulsamos en el botón siguiente.

Cifrado de unidad BitLockerUsar una contraseña para desbloquear la unidad

Ya tenemos la contraseña con la que desbloquearemos la unidad para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.

Para ello nos da cuatro opciones:

  • Guardar en la cuenta Microsoft
  • Guardar en una unidad flash USB
  • Guardar en un archivo
  • Imprimir la clave de recuperación

En este caso, guardaremos la clave de recuperación en un archivo.

Cifrado de unidad BitLockerCopia de seguridad de la clave de recuperación - Guardar en un archivo

Donde elegiremos la ruta de donde guardarlo y pulsamos en el botón "Guardar", no podremos guardarlo en la misma unidad ya que al estar cifrada si no recordamos nuestra contraseña no podremos acceder para buscar el archivo con la clave de recuperación.

Guardar clave de recuperación de BitLocker comoClave de recuperación de BitLocker 5C28F87B

Podemos usar también los otros métodos para almacenar la clave, una vez terminemos, pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerSe guardó la clave de recuperación

Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.

Si es una unidad nueva no tendrá ningún dato personal nuestro, si es un equipo nuevo tampoco tendrá ningún dato nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.

En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.

Esto es así, porque aunque veamos que el espacio esta vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.

Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerElegir qué cantidad de la unidad desea cifrar

Para que comience pulsamos el botón donde dice "Iniciar cifrado".

Cifrado de unidad BitLockerListo para cifrar esta unidad - Iniciar cifrado

Una vez termine nos aparecerá una ventana donde dice que se completó el cifrado, la cual pulsamos en el botón "Cerrar".

Cifrado de unidad BitLockerSe completó el cifrado de D:

Y podemos comprobar como ya en el explorador de archivos aparece la unidad con su candado y llave para indicarnos que está cifrada.

Explorador de archivosUnidad datos cifrada

 

4.3- Unidades externas

En este caso vamos a cifrar una unidad flash USB, la cual desde la ventana de cifrado de BitLocker no reconoce el USB.

Para que reconozca el USB BitLocker, la memoria flash debe de tener dos particiones, una pequeña sin cifrar y otra grande para los datos que será la que cifremos.

Lo más sencillo seria pasar los datos de la memoria USB al disco duro para hacer así un backup de ellos, después desde el administrador de discos que trae Windows, en la memoria USB crear una partición de 350MB y una segunda partición del resto del tamaño disponible que sería para los datos. Después cifrar la memoria USB y a continuación volver a meter los datos en la memoria.

Aquí se puede ver en el administrador de discos de Windows, una pequeña partición de 350MB a la que hemos llamado "BitLocker", pero que no la hemos asignado ninguna letra a la unidad para que así no aparezca en el explorador de archivos.

Y una segunda partición a la que hemos llamado "USB-Datos" con el resto del espacio disponible, a la que hemos asignado la letra F: para que esta si la muestre en el explorador de archivos.

Administración de discosParticiones BitLocker y USB-Datos

Abrimos la pantalla para administrar BitLocker, para ello pulsamos la tecla de Windows de nuestro teclado y escribimos "Administrar BitLocker" y pulsamos enter.

Windows 10Administrar BitLocker

Dentro de la sección de datos extraíbles: BitLocker To Go, pulsamos sobre la flecha en nuestra unidad USB para expandirla, después pulsamos sobre el texto "Activar BitLocker".

Cifrado de unidad BitLockerUnidades de datos extraíbles: BitLocker To Go - Activar BitLocker

Elegimos como desbloquear la unidad USB para acceder a los datos, entre contraseña o una tarjeta inteligente si la tuviéramos, en este caso contraseña, rellenamos las cajas de texto y pulsamos en el botón de "Siguiente".

Cifrado de unidad BitLockerUsar una contraseña para desbloquear la unidad F:

Ya tenemos la contraseña con la que desbloquearemos la memoria USB para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.

Para ello nos da tres opciones:

  • Guardar en la cuenta Microsoft
  • Guardar en un archivo
  • Imprimir la clave de recuperación

En este caso, guardaremos la clave de recuperación en un archivo, para ello pasamos sobre "Guardar en un archivo" y la guardamos en una unidad no cifrada, después pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerSe guardó la clave de recuperación - Unidad F:

Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.

Si es una unidad flash usb nueva no tendrá ningún dato personal nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.

En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.

Esto es así, porque aunque veamos que el espacio está vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.

Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".

Cifrado de unidad BitLockerElegir qué cantidad de la unidad desea cifrar - Siguiente

Ya solo nos queda pulsar en el botón "Iniciar cifrado" para que comience el proceso.

Cifrado de unidad BitLockerListo para cifrar esta unidad F: - Iniciar cifrado

Cuando termine, nos mostrara una ventana donde indica que se completó el cifrado, en la cual pulsamos sobre "Cerrar".

Cifrado de unidad BitLockerSe completó el cifrado de F:

Y ya podemos ver el icono de nuestra memoria USB en el explorador de archivos de Windows con su candado y llave.

Explorador de archivosUnidad flash USB cifrada

 

5.- Opciones de cifrado en las unidades

Una vez cifradas las unidades podremos usar distintas opciones sobre la unidad elegida.

Cifrado de unidad BitLockerOpciones de la unidad

Copia de seguridad de la clave de recuperación:

Sirve para generar la clave de recuperación en caso que la hayamos perdido.

Cambiar contraseña:

Nos permite cambiar la contraseña si conocemos la contraseña anterior o poner una nueva si somos administradores.

Quitar contraseña:

Nos permite quitar la contraseña, solo si tenemos otra manera de desbloquear la unidad, como una tarjeta inteligente.

Agregar tarjeta inteligente:

Si instalamos una tarjeta inteligente, desde aquí podemos agregarla.

Activar desbloqueo automático:

Desbloquea automáticamente el cifrado para el equipo en que está conectada la unidad.

Desactivar BitLocker:

Desactiva el cifrado y deja la unidad sin cifrar.

 

6.- Recuperar unidad con clave de recuperación

Cuando nos encontramos en la tesitura que no recordamos la contraseña que pusimos para desbloquear el cifrado de la unidad, la única manera de poder acceder es mediante la clave de recuperación.

Para ello, al desbloquear la unidad donde introducimos la contraseña, debemos pulsar en el texto que pone "Mas opciones".

BitLockerEscriba la contraseña para desbloquear esta unidad - Más opciones

Y ahora pulsar donde dice "Escribir clave de recuperación".

BitLockerEscribir clave de recuperación

Nos mostrara una nueva ventana, donde nos indicara un Id. de clave.

BitLockerId. de clave: 3DBB2F30

Ahora debemos de buscar entre nuestras claves de recuperación cual empieza por ese Id. de clave.

Vemos que el primer archivo txt comienza por el Id. de clave 3DBB2F30, así que abrimos el txt para ver su contenido.

Explorador de archivosClaves de recuperación

Podemos ver el identificador que comienza por nuestro Id. de clave y un poco más abajo la clave de recuperación.

Clave de recuperación de BitLockerIdentificador y Clave de recuperación

Ya solo debemos volver a la siguiente pantalla para introducir nuestra clave de recuperación y así poder acceder a la unidad.

BitLockerId. de clave: 3DBB2F30

Links de interés:

Los mejores tutoriales para Windows, puedes optimizar y mejorar tu sistema operativo Windows.

Si tienes alguna duda con este tutorial o cualquier otro, visita Foros Windows

¿Quieres compartir este tutorial?