Encriptar unidades de disco o USB en Windows
- Como trabaja BitLocker
- Requisitos
- Cambiar a una encriptación más segura de 256bits
- Encriptar unidades sin TPM
- Opciones de cifrado en las unidades
- Recuperar unidad con clave de recuperación
1. Como trabaja BitLocker
BitLocker es el programa de cifrado de Microsoft que proporciona cifrado de disco completo de las unidades de disco duro como de las unidades flash USB.
Cifrar o encriptar lo que hace es mantener nuestro equipo protegido, para que nadie que no conozca la contraseña pueda acceder a los datos, así en caso de pérdida o robo no se podría acceder a los archivos de la unidad.
Para ello se utilizan algoritmos que modifican los datos originales, dejándolos de tal manera que ningún programa sea capaz de leerlos a no ser que tengan la contraseña, con la cual podrían descifrar los datos y devolverlos a su estado original.
En Windows 10 tenemos dos métodos para encriptar los datos, el cifrado con TPM (hardware) y el cifrado de BitLocker estándar(software).
TMP (Módulo de plataforma confiable) es un chip que está en la placa madre, el cual genera claves criptográficas de manera segura, y tiene una clave RSA única y secreta que se guarda en el chip en su proceso de producción.
Este método solo podemos usarle si nuestra placa trae el chip TMP, lo que hace es que cuando cifra los datos del disco duro, almacena las claves de cifrado en el chip TPM.
Cuando una placa madre no cuenta con el chip para TPM, puede seguir usando el cifrado de BitLocker, pero en vez de guardar las claves de cifrado en el TMP lo hará en otra unidad y para ello hay que cambiar una política grupal en Windows.
Siendo mejor el cifrado por TPM ya que lo hace de manera nativa y la bajada de rendimiento es prácticamente nula.
Podemos encontrarnos en tres escenarios a la hora de cifrar unidades sin TPM:
- Cifrar la unidad en que se encuentra el sistema operativo
- Cifrar otras unidades de disco internas
- Cifrar unidades externas como un USB
Cuando Windows 10 formatea nuestro disco duro para instalar Windows, ya nos crea una unidad oculta llamada "Reservado para el sistema", la cual es necesaria para usar BitLocker.
Si es para otras unidades internas también necesita dicha unidad.
Para unidades externas como un USB, también es necesaria esa unidad pero va dentro de la propia memoria USB, para así poder llevar la memoria USB a cualquier equipo y que pueda tener acceso a ella.
2.- Requisitos
Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM),el equipo debe tener TPM 1.2 o posterior. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.
Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin un TPM no requiere firmware compatible con TCG.
El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.
El TPM 2,0 no es compatible con los modos heredado y CSM del BIOS. Los dispositivos con TPM 2,0 deben tener el modo de BIOS configurado solo con UEFI nativo. Las opciones de Legacy and Compatibility support Module (CSM) deben estar deshabilitadas. Para una mayor seguridad, habilita la característica de arranque seguro.
El disco duro necesita dos particiones, una del sistema operativo y otra unidad del sistema que no estará cifrada, que deberá estar formateada con FAT32 en equipos con UEFI o con NTFS en equipos con BIOS, que deberá contar con un tamaño aproximado de 350MB.
Tener Windows en sus versiones Professional y Enterprise además de pertenecer al grupo de administradores local.
Tener Windows 10 versión 1511 o superior para tener el nuevo cifrado XTS-AES.
3.- Cambiar a una encriptación más segura de 256bits
Si tenemos Windows actualizado usara el algoritmo XTS-AES con una fuerza de cifrado predeterminada de 128 bits, la cual podremos cambiarla a 256bits.
Al ser de 256bits lograremos darle mucha más seguridad, el problema es que hace más lento el proceso de cifrar y descifrar.
Pulsamos la tecla de Windows en nuestro teclado, escribimos "Editar directiva de grupo" y pulsamos enter.
Dentro del Editor de directivas de grupo local nos vamos a la siguiente ruta:
Directiva Equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker
Buscamos la directiva:
Elegir método de cifrado e intensidad de cifrado de unidad (Windows 10 [versión 1511] y posteriores)
Y hacemos doble clic sobre ella.
En la ventana que aparece, marcamos la casilla de "Habilitada". Y dentro de opciones podemos cambiar el método de cifrado.
Tanto para el sistema operativo como para las unidades fijas viene por defecto en XTS-AES de 128bits y para las unidades extraíbles como los USB en AES-CBC de 128 bits.
En las unidades externas usa AES-CBC para tener una mayor compatibilidad.
Así que lo dejamos tal cual, pero cambiándolo a 256 bits y pulsamos en "Aceptar".
4.- Encriptar unidades sin TPM
Cuando intentamos cifrar Windows en un ordenador que su placa madre no cuenta con TPM, aparecerá el siguiente mensaje de error.
Para solucionarlo, debemos de indicar a Windows 10 que no use TMP, para ello, pulsamos la tecla de Windows en nuestro teclado, escribimos "Editar directiva de grupo" y pulsamos enter.
Dentro del Editor de directivas de grupo local nos vamos a la siguiente ruta:
Directiva Equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo
Buscamos la directiva:
Requerir autenticación adicional al iniciar
Y hacemos doble clic sobre ella.
En la ventana que aparece, marcamos la casilla de "Habilitada". Y dentro de opciones no tenemos que cambiar nada, ya que por defecto aparece activada la casilla correspondiente con la configuración necesaria.
4.1- Sistema Operativo
Para activar BitLocker en la unidad del sistema operativo en Windows 10, podemos ir al explorador de archivos y sobre la unidad (c:) dar al botón derecho del ratón y seleccionar "Activar BitLocker".
O también podemos ir a la configuración de cifrado donde veremos todas las unidades a las que podemos activar BitLocker.
Pulsamos la tecla de Windows de nuestro teclado, escribimos "Administrar BitLocker" y pulsamos enter.
Dentro de la sección "Unidad de sistema operativo", vemos que la unidad c: tiene el BitLocker desactivado, así que pulsamos sobre el texto "Activar BitLocker".
Ahora debemos de elegir como vamos a desbloquear la unidad, mediante una unidad flash USB que habrá que meter cada vez que inicia el equipo o metiendo una contraseña, en este caso elegimos la opción "Escribir una contraseña" por comodidad.
Escribimos una contraseña segura que incluya mayúsculas y minúsculas, números, símbolos y espacios, en ambas cajas de texto y pulsamos en el botón siguiente.
Ya tenemos la contraseña con la que desbloquearemos la unidad del sistema operativo para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.
Para ello nos da cuatro opciones:
- Guardar en la cuenta Microsoft
- Guardar en una unidad flash USB
- Guardar en un archivo
- Imprimir la clave de recuperación
En este caso, guardaremos la clave de recuperación en un archivo.
Donde elegiremos la ruta de donde guardarlo y pulsamos en el botón "Guardar", no podremos guardarlo en la misma unidad c: ya que al estar cifrada si no recordamos nuestra contraseña no podremos acceder a c: para buscar el archivo con la clave de recuperación.
Podemos usar también los otros métodos para almacenar la clave, una vez terminemos, pulsamos en el botón "Siguiente".
Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.
Si es una unidad nueva no tendrá ningún dato personal nuestro, si es un equipo nuevo tampoco tendrá ningún dato nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.
En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.
Esto es así, porque aunque veamos que el espacio esta vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.
Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".
Marcamos la casilla de ejecutar la comprobación del sistema BitLocker para asegurarnos que el método de desbloqueo funciona y pulsamos en el botón de "Continuar".
Pulsamos en el botón "Reiniciar ahora", para que se reinicie y se inicie el proceso.
Introducimos nuestra contraseña y pulsamos la tecla Entrar.
Una vez se reinicia, podemos ver un icono al lado del reloj de Windows, que al pulsarlo podemos ver qué porcentaje de cifrado lleva.
Y nos mostrara un aviso donde nos indica que se completó el cifrado de c:, donde pulsamos en el botón de "Cerrar".
Ahora en el explorador de archivos nos aparecerá un icono con un candado con su llave, para saber que la unidad del sistema operativo está cifrada.
4.2- Unidades de disco internas
Abrimos la pantalla para administrar BitLocker, para ello pulsamos la tecla de Windows de nuestro teclado y escribimos "Administrar BitLocker" y pulsamos enter.
Dentro de la sección de unidades de datos fijas, buscamos el nombre y letra de la unidad que queremos cifrar y pulsamos en la flecha hacia abajo para expandirlo, a continuación pulsamos sobre el texto "Activar BitLocker".
Elegimos como vamos a desbloquear la unidad, en este caso por contraseña, marcamos la casilla e introducimos la contraseña, la cual volvemos a repetir para confirmarla y pulsamos en el botón siguiente.
Ya tenemos la contraseña con la que desbloquearemos la unidad para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.
Para ello nos da cuatro opciones:
- Guardar en la cuenta Microsoft
- Guardar en una unidad flash USB
- Guardar en un archivo
- Imprimir la clave de recuperación
En este caso, guardaremos la clave de recuperación en un archivo.
Donde elegiremos la ruta de donde guardarlo y pulsamos en el botón "Guardar", no podremos guardarlo en la misma unidad ya que al estar cifrada si no recordamos nuestra contraseña no podremos acceder para buscar el archivo con la clave de recuperación.
Podemos usar también los otros métodos para almacenar la clave, una vez terminemos, pulsamos en el botón "Siguiente".
Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.
Si es una unidad nueva no tendrá ningún dato personal nuestro, si es un equipo nuevo tampoco tendrá ningún dato nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.
En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.
Esto es así, porque aunque veamos que el espacio esta vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.
Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".
Para que comience pulsamos el botón donde dice "Iniciar cifrado".
Una vez termine nos aparecerá una ventana donde dice que se completó el cifrado, la cual pulsamos en el botón "Cerrar".
Y podemos comprobar como ya en el explorador de archivos aparece la unidad con su candado y llave para indicarnos que está cifrada.
4.3- Unidades externas
En este caso vamos a cifrar una unidad flash USB, la cual desde la ventana de cifrado de BitLocker no reconoce el USB.
Para que reconozca el USB BitLocker, la memoria flash debe de tener dos particiones, una pequeña sin cifrar y otra grande para los datos que será la que cifremos.
Lo más sencillo seria pasar los datos de la memoria USB al disco duro para hacer así un backup de ellos, después desde el administrador de discos que trae Windows, en la memoria USB crear una partición de 350MB y una segunda partición del resto del tamaño disponible que sería para los datos. Después cifrar la memoria USB y a continuación volver a meter los datos en la memoria.
Aquí se puede ver en el administrador de discos de Windows, una pequeña partición de 350MB a la que hemos llamado "BitLocker", pero que no la hemos asignado ninguna letra a la unidad para que así no aparezca en el explorador de archivos.
Y una segunda partición a la que hemos llamado "USB-Datos" con el resto del espacio disponible, a la que hemos asignado la letra F: para que esta si la muestre en el explorador de archivos.
Abrimos la pantalla para administrar BitLocker, para ello pulsamos la tecla de Windows de nuestro teclado y escribimos "Administrar BitLocker" y pulsamos enter.
Dentro de la sección de datos extraíbles: BitLocker To Go, pulsamos sobre la flecha en nuestra unidad USB para expandirla, después pulsamos sobre el texto "Activar BitLocker".
Elegimos como desbloquear la unidad USB para acceder a los datos, entre contraseña o una tarjeta inteligente si la tuviéramos, en este caso contraseña, rellenamos las cajas de texto y pulsamos en el botón de "Siguiente".
Ya tenemos la contraseña con la que desbloquearemos la memoria USB para poder acceder a los datos, pero si la olvidamos no podremos acceder, así que para que no pase esto debemos de crear una clave de recuperación, así aunque no recordemos nuestra contraseña podremos acceder con la clave de recuperación y volver a ponernos otra contraseña.
Para ello nos da tres opciones:
- Guardar en la cuenta Microsoft
- Guardar en un archivo
- Imprimir la clave de recuperación
En este caso, guardaremos la clave de recuperación en un archivo, para ello pasamos sobre "Guardar en un archivo" y la guardamos en una unidad no cifrada, después pulsamos en el botón "Siguiente".
Ahora debemos elegir qué cantidad de la unidad deseamos cifrar.
Si es una unidad flash usb nueva no tendrá ningún dato personal nuestro, entonces lo mejor es usar la primera opción de cifrar solo el espacio en disco utilizado, así tardara menos tiempo, ya que solo cifra donde hay datos, el espacio que actualmente está libre no lo cifra, lo ira cifrando a medida que se vayan metiendo nuevos datos.
En caso que la unidad haya tenido alguna vez datos nuestros, entonces debemos de usar la segunda opción de cifrar la unidad entera.
Esto es así, porque aunque veamos que el espacio está vacío/libre en realidad hay datos que podrían ser recuperados con programas de recuperación.
Una vez elegida la opción que necesitemos pulsamos en el botón "Siguiente".
Ya solo nos queda pulsar en el botón "Iniciar cifrado" para que comience el proceso.
Cuando termine, nos mostrara una ventana donde indica que se completó el cifrado, en la cual pulsamos sobre "Cerrar".
Y ya podemos ver el icono de nuestra memoria USB en el explorador de archivos de Windows con su candado y llave.
5.- Opciones de cifrado en las unidades
Una vez cifradas las unidades podremos usar distintas opciones sobre la unidad elegida.
Copia de seguridad de la clave de recuperación:
Sirve para generar la clave de recuperación en caso que la hayamos perdido.
Cambiar contraseña:
Nos permite cambiar la contraseña si conocemos la contraseña anterior o poner una nueva si somos administradores.
Quitar contraseña:
Nos permite quitar la contraseña, solo si tenemos otra manera de desbloquear la unidad, como una tarjeta inteligente.
Agregar tarjeta inteligente:
Si instalamos una tarjeta inteligente, desde aquí podemos agregarla.
Activar desbloqueo automático:
Desbloquea automáticamente el cifrado para el equipo en que está conectada la unidad.
Desactivar BitLocker:
Desactiva el cifrado y deja la unidad sin cifrar.
6.- Recuperar unidad con clave de recuperación
Cuando nos encontramos en la tesitura que no recordamos la contraseña que pusimos para desbloquear el cifrado de la unidad, la única manera de poder acceder es mediante la clave de recuperación.
Para ello, al desbloquear la unidad donde introducimos la contraseña, debemos pulsar en el texto que pone "Mas opciones".
Y ahora pulsar donde dice "Escribir clave de recuperación".
Nos mostrara una nueva ventana, donde nos indicara un Id. de clave.
Ahora debemos de buscar entre nuestras claves de recuperación cual empieza por ese Id. de clave.
Vemos que el primer archivo txt comienza por el Id. de clave 3DBB2F30, así que abrimos el txt para ver su contenido.
Podemos ver el identificador que comienza por nuestro Id. de clave y un poco más abajo la clave de recuperación.
Ya solo debemos volver a la siguiente pantalla para introducir nuestra clave de recuperación y así poder acceder a la unidad.
Links de interés:
Los mejores tutoriales para Windows, puedes optimizar y mejorar tu sistema operativo Windows.
Si tienes alguna duda con este tutorial o cualquier otro, visita Foros Windows