- Diferencia clara entre EFS, BitLocker y el cifrado de dispositivo, y cuándo usar cada uno.
- Comprobaciones clave: TPM, Secure Boot, WinRE y compatibilidad del equipo antes de cifrar.
- Gestión segura de claves de recuperación y protectores de BitLocker en unidades y USB.
- Ajustes de algoritmo/intensidad y opciones si notas impacto en rendimiento en SSD.
Proteger lo que guardas en tu PC no es opcional: es necesario. En Windows cuentas con varias capas de seguridad para evitar que terceros lean tus datos sin permiso, ya sea que robes el equipo o intenten acceder desde otro sistema. Con las herramientas nativas (por ejemplo, se puede cifrar una carpeta con Bitlocker) podrás cifrar archivos, carpetas, unidades completas y dispositivos externos con unos cuantos clics.
En esta guía encontrarás todo lo que necesitas para cifrar una carpeta con BitLocker y otras alternativas. Verás qué edición de Windows necesitas, cómo comprobar si tu equipo tiene TPM, cómo usar EFS para elementos sueltos y cómo crear y guardar correctamente la clave de recuperación. También te explico qué hacer si no tienes TPM, qué algoritmo y longitud de clave elegir, los posibles impactos en rendimiento y qué opciones hay si buscas algo tipo contenedor/ISO protegido por contraseña.
Qué opciones de cifrado ofrece Windows y en qué se diferencian
En Windows conviven tres enfoques:
- Cifrado de dispositivo. Activa automáticamente la protección si el hardware cumple ciertos requisitos y adjunta la clave de recuperación a tu cuenta de Microsoft tras el primer inicio de sesión. Suele estar disponible incluso en Windows Home, pero no en todos los equipos.
- BitLocker, presente en ediciones Pro, Enterprise y Education. Es un cifrado de disco completo para la unidad del sistema y otras unidades, internas o externas (BitLocker To Go). Su gran baza es que protege todo el volumen de extremo a extremo.
- EFS (Encrypting File System), pensado para archivos y carpetas individuales. Está vinculado a tu usuario, por lo que solo quien los cifra puede abrirlos en ese mismo perfil. Es ideal para un puñado de documentos sensibles, pero no sustituye a BitLocker en protección global.
Cómo saber si tu equipo soporta cifrado de dispositivo y TPM
Para verificar la compatibilidad del ‘cifrado de dispositivo’, en Inicio busca ‘Información del sistema’, haz clic derecho y abre ‘Ejecutar como administrador’. En ‘Resumen del sistema’, localiza la línea ‘Compatibilidad con cifrado de dispositivo’. Si ves ‘Cumple los requisitos previos’, lo tienes a tiro; si aparecen mensajes como ‘El TPM no se puede usar’, ‘WinRE no está configurado’ o ‘El enlace PCR7 no es compatible’, tendrás que corregir esos puntos (activar TPM/Secure Boot, configurar WinRE, desconectar bases o gráficas externas al arrancar, etc.).
Para confirmar si hay TPM: pulsa Windows + X, entra en ‘Administrador de dispositivos’ y en ‘Dispositivos de seguridad’ busca ‘Módulo de plataforma segura (TPM)’ con versión 1.2 o posterior. También puedes ejecutar ‘tpm.msc’ con Windows + R. BitLocker funciona mejor con TPM, pero más abajo verás cómo activarlo sin ese chip.
Cifrar archivos y carpetas con EFS (Windows Pro/Enterprise/Education)
Si solo quieres proteger una carpeta determinada o pocos archivos, EFS es rápido y cómodo. Haz clic derecho en el elemento, entra en ‘Propiedades’ y pulsa ‘Avanzados’. Marca ‘Cifrar contenido para proteger datos’ y confirma. Si cifras una carpeta, el sistema te preguntará si aplicas el cambio solo a la carpeta o también a sus subcarpetas y archivos; elige la opción que mejor encaje con tu necesidad.
Una vez activado, verás un pequeño candado en el icono. EFS cifra para el usuario actual; si copias ese archivo a otro PC o intentas abrirlo desde otra cuenta, no se podrá leer. Ojo con los archivos temporales (por ejemplo, de apps como Word o Photoshop): si la carpeta raíz no está cifrada, podrían quedarse migas sin proteger. Por eso es recomendable cifrar la carpeta completa que alberga tus documentos.
Muy recomendable: realiza copia de seguridad del certificado de cifrado. Windows te mostrará un aviso para ‘realizar copia de seguridad de la clave ahora’. Sigue el asistente de exportación de certificados, guarda la clave en una memoria USB y protégela con una contraseña robusta. Si reinstalas Windows o cambias de usuario y no exportaste la clave, puedes perder el acceso.
Para descifrar, repite el proceso: propiedades, avanzados, desmarca ‘Cifrar contenido para proteger datos’ y aplica. El comportamiento en Windows 11 es idéntico, así que el paso a paso es el mismo.
Cifrar una carpeta con BitLocker (Windows Pro/Enterprise/Education)
BitLocker cifra volúmenes enteros, internos o externos. En el Explorador de archivos, clic derecho sobre la unidad que quieras proteger y elige ‘Activar BitLocker’. Si no aparece la opción, tu edición de Windows no lo incluye. Si te salta un aviso sobre TPM ausente, no te preocupes, se puede usar sin TPM; solo requiere un ajuste de directiva que te explico justo después.
El asistente te pedirá cómo desbloquear la unidad: con contraseña o tarjeta inteligente. Lo más habitual es usar contraseña con buena entropía (mayúsculas, minúsculas, números y símbolos). Después, elige dónde guardar la clave de recuperación: en tu cuenta de Microsoft, en una unidad USB, en un archivo o imprimirla. Guardar en cuenta Microsoft es muy práctico (acceso vía onedrive.live.com/recoverykey), pero acompáñalo de una copia adicional offline.
En el siguiente paso decide si cifras solo el espacio usado o toda la unidad. La primera opción es más rápida para discos nuevos; para equipos con uso previo, mejor cifra toda la unidad para proteger datos borrados que aún podrían recuperarse. Más seguridad implica más tiempo inicial.
Finalmente, elige el modo de cifrado: ‘nuevo’ para sistemas modernos o ‘compatible’ si vas a mover esa unidad entre PCs con versiones antiguas de Windows. Marca ‘Ejecutar verificación del sistema BitLocker’ y continúa. Si es la unidad del sistema, el equipo reiniciará y te pedirá la contraseña de BitLocker en el arranque; si es un disco de datos, el cifrado comenzará en segundo plano y podrás seguir trabajando.
Si cambias de idea, en el Explorador, clic derecho sobre la unidad cifrada y entra en ‘Administrar BitLocker’ para desactivar, cambiar contraseña, regenerar la clave de recuperación o activar el desbloqueo automático en ese equipo. BitLocker no funciona sin al menos un método de autenticación.
Usar BitLocker sin TPM: directiva de grupo y opciones de inicio
Si no tienes TPM, abre el Editor de directivas de grupo local con ‘gpedit.msc’ (Windows + R) y navega a ‘Configuración del equipo’ > ‘Plantillas administrativas’ > ‘Componentes de Windows’ > ‘Cifrado de unidad BitLocker’ > ‘Unidades del sistema operativo’. Abre ‘Requerir autenticación adicional al iniciar’ y márcalo como ‘Habilitado’. Activa la casilla ‘Permitir BitLocker sin un TPM compatible’. Aplica los cambios y ejecuta ‘gpupdate /target:Computer /force’ para forzar su aplicación.
Al iniciar el asistente de BitLocker en el disco del sistema, te propondrá dos métodos: ‘Insertar una unidad flash USB’ (guardará una clave de arranque .BEK que deberá estar conectada en cada arranque) o ‘Escribir una contraseña’ (PIN/contraseña de prearranque). Si usas USB, cambia el orden de arranque en BIOS/UEFI para que el equipo no intente arrancar desde ese pendrive. Durante el proceso, no retires la unidad USB hasta que todo finalice.
Antes de cifrar, BitLocker puede hacer una ‘prueba del sistema’ para confirmar que podrá acceder a la clave durante el arranque. Si falla con un mensaje de arranque, revisa el orden de boot y las opciones de seguridad (Secure Boot y demás) y vuelve a intentarlo.
BitLocker To Go: proteger memorias USB y discos externos
Conecta el dispositivo externo, en el Explorador haz clic derecho sobre la unidad y elige ‘Activar BitLocker’. Establece una contraseña y guarda la clave de recuperación. Podrás marcar ‘No volver a solicitar en este equipo’ para activar el desbloqueo automático. En otros PCs, se pedirá la contraseña al conectar antes de poder leer su contenido.
En sistemas muy antiguos (Windows XP/Vista), no hay soporte nativo para el desbloqueo, pero Microsoft publicó ‘BitLocker To Go Reader’ para acceso de solo lectura en unidades con formato FAT. Si planeas compatibilidad retro, valora usar el modo de cifrado ‘compatible’ en el asistente.
Algoritmo e intensidad del cifrado, y su impacto en el rendimiento
Por defecto, BitLocker usa XTS-AES con clave de 128 bits en discos internos y AES-CBC 128 en externos. Puedes aumentar a 256 bits o ajustar el algoritmo en directivas: ‘Cifrado de unidad BitLocker’ > ‘Elegir método de cifrado e intensidad…’. Dependiendo de la versión de Windows, se divide por tipo de unidad (arranque, datos, extraíbles). XTS-AES es el recomendado por robustez y rendimiento.
Con CPUs modernas (AES-NI) el impacto suele ser mínimo, pero existen casos donde el rendimiento cae, especialmente en ciertas SSD con Windows 11 Pro cuando se fuerza BitLocker por software sobre discos con cifrado de hardware. Se ha medido hasta un 45% menos en lecturas aleatorias en modelos concretos (por ejemplo, Samsung 990 Pro 4 TB). Si notas degradación severa, puedes: 1) desactivar BitLocker en ese volumen (sacrificando seguridad) o 2) reinstalar y forzar cifrado por hardware del propio SSD si es fiable (proceso más complejo y dependiente del fabricante).
Recuerda que un cifrado más fuerte (256 bits) supone ligeramente más carga, pero en equipos actuales la diferencia suele ser asumible. Prioriza seguridad si manejas datos sensibles o regulados.
Claves de recuperación: dónde guardarlas y cómo usarlas
Siempre crea y guarda la clave de recuperación cuando habilitas BitLocker. Opciones disponibles: ‘Guardar en tu cuenta Microsoft’ (acceso centralizado), ‘Guardar en una unidad flash USB’, ‘Guardar en un archivo’ o ‘Imprimir la clave’. La clave es un código de 48 dígitos que permite desbloquear si olvidas la contraseña o si BitLocker detecta una anomalía de arranque en la unidad del sistema.
Si cifras varios discos, cada clave tendrá un identificador. El nombre del fichero de la clave suele incluir un GUID que coincide con el que BitLocker te pedirá al recuperar. Para consultar claves guardadas en la cuenta Microsoft, visita onedrive.live.com/recoverykey con tu sesión iniciada. Evita guardar claves en la misma unidad cifrada y mantén copias offline.
BitLocker integra una consola de gestión donde puedes: cambiar la contraseña, agregar o quitar protectores (contraseña, PIN+TPM, tarjeta inteligente), regenerar la clave de recuperación y desactivar el cifrado cuando ya no lo necesites.
ISO con contraseña: alternativas fiables en Windows 11
Windows no ofrece un ‘ISO con contraseña’ nativo. Algunas utilidades convierten a formatos propios (como ‘.DAA’ en PowerISO), lo que no es ideal si necesitas mantener ‘.ISO’. En su lugar, crea un contenedor cifrado con VeraCrypt y móntalo bajo demanda: funciona como una ‘unidad virtual’ protegida por contraseña y es portable.
Si quieres algo ligero para compartir, los archivadores modernos permiten cifrar con AES: crea un ‘.zip’ o ‘.7z’ con contraseña desde herramientas como 7-Zip o WinRAR y marca la opción de cifrar nombres de fichero. Para unidades externas, BitLocker To Go es la vía recomendada en Windows Pro; en Home, VeraCrypt cumple perfectamente.
Con todo lo anterior puedes decidir si cifrar una carpeta con EFS, una unidad entera con BitLocker o crear un contenedor con VeraCrypt. Lo clave es elegir el método que encaje con tu edición de Windows y tu hardware, guardar bien la clave de recuperación y ajustar el algoritmo/longitud según tus prioridades. Si mimas esos tres puntos, tendrás tus datos blindados sin complicarte la vida.
Redactor especializado en temas de tecnología e internet con más de diez años de experiencia en diferentes medios digitales. He trabajado como editor y creador de contenidos para empresas de comercio electrónico, comunicación, marketing online y publicidad. También he escrito en webs de economía, finanzas y otros sectores. Mi trabajo es también mi pasión. Ahora, a través de mis artículos en Tecnobits, intento explorar todas las novedades y nuevas oportunidades que el mundo de la tecnología nos ofrece día a día para mejorar nuestras vidas.