Por qué Windows olvida dispositivos USB y los reinstala cada vez

¿Por qué Windows “olvida” dispositivos USB conocidos y los reinstala cada vez? Si cada vez que conectas el mismo pendrive, disco duro externo o memoria USB a tu PC ves el típico mensaje de “instalando controlador de dispositivo” como si fuera la primera vez, es normal que te preguntes qué está haciendo exactamente Windows. No es solo una manía del sistema, detrás hay decisiones de diseño, seguridad y compatibilidad que conviene entender para no volverse loco ni perder tiempo.

A la vez, muchos usuarios se topan con otros “misterios” relacionados: bloqueos repentinos por BitLocker tras una actualización, gestores de arranque que desaparecen al instalar Windows junto a Linux, o sistemas que se vuelven lentos después de tocar supuestos “trucos milagrosos”. Todos estos comportamientos tienen en común la forma en que Windows detecta hardware, gestiona el arranque, protege los datos y controla la energía, y están más conectados de lo que parece.

Por qué Windows parece “olvidar” tus USB y reinstala los controladores

Lo primero es entender que Windows no trata todos los USB igual. Cada dispositivo se identifica mediante una combinación de IDs de fabricante, producto, clase y a menudo número de serie. Esa huella se guarda en el registro junto con el controlador que se ha usado, pero no siempre se reutiliza de la forma que esperarías.

Cuando conectas por primera vez un pendrive, Windows consulta esa información y decide qué driver genérico (usbstor.sys, por ejemplo) o específico usar. En cuanto detecta un ID “nuevo” o un puerto que no ha visto antes con ese dispositivo, Windows puede crear una instancia adicional en el registro y comportarse como si fuera un nuevo hardware, mostrando el asistente de instalación.

Esto se agrava si conectas el mismo USB en puertos distintos. En muchos equipos se crea una entrada de dispositivo por cada combinación puerto-dispositivo, de modo que Windows puede adaptar configuraciones (energía, letra de unidad, políticas de extracción rápida) por puerto concreto. El efecto práctico es que verás repetidamente el mensaje de “configurando dispositivo” aunque uses siempre el mismo pendrive.

En algunos casos, tras actualizaciones de Windows o cambios importantes (drivers de chipset, BIOS/UEFI, modo de energía), el sistema invalida parte de esa caché. Para garantizar estabilidad y evitar conflictos, Windows prefiere reinstalar el dispositivo con la pila de controladores más reciente en vez de fiarse de configuraciones antiguas que podrían no ser compatibles.

También influye el tipo de dispositivo USB. No es lo mismo un simple almacenamiento masivo que un teclado, una interfaz de audio o un dongle de seguridad. Los dispositivos compuestos (por ejemplo, un USB que actúa a la vez como almacenamiento y dispositivo de entrada) pueden generar varias instalaciones internas, lo que multiplica la sensación de que el sistema “no se acuerda” de nada.

Seguridad, cifrado y por qué a veces tu Windows deja de arrancar

Más allá de los USB, hay usuarios que tras una actualización de Windows 10 u 11 se encuentran, de la noche a la mañana, con un equipo que arranca pidiendo una clave de BitLocker que nunca recuerdan haber configurado. BitLocker es el sistema de cifrado de disco de Microsoft y puede activarse automáticamente en ciertos equipos modernos, sobre todo portátiles con TPM y vinculados a cuentas de Microsoft o a Microsoft Entra ID (antiguo Azure AD).

Si, como en el caso típico de un Asus Zenbook, tras una actualización el portátil se queda en una pantalla azul pidiendo PIN o clave de recuperación y esa clave no aparece en la cuenta de Microsoft, la situación es crítica. BitLocker está diseñado precisamente para que, sin la clave de recuperación, los datos sean irrecuperables. No vale “forzar” el disco desde fuera: el contenido está cifrado con claves que solo el TPM y las credenciales válidas conocen.

BitLocker puede entrar en modo de recuperación si detecta cambios en el arranque: actualización de BIOS/UEFI, modificación de la configuración del TPM, cambios en los PCR (registros de configuración de plataforma), variaciones en el orden de arranque o incluso cambios físicos en el hardware. Estas comprobaciones de integridad son las que impiden que alguien robe tu disco y lo lea en otro equipo sin más, pero también son las que a veces se vuelven contra ti si no tienes la clave de recuperación guardada.

En equipos unidos a Microsoft Entra ID o gestionados en empresa, el comportamiento se matiza: cuando BitLocker se suspende de forma automática (por ejemplo, durante un reinicio de mantenimiento), Windows intenta reanudar la protección en el siguiente arranque y hace copia de la clave de recuperación en el directorio adecuado. Si la política exige que exista copia de seguridad de la clave, el sistema puede esperar hasta 60 segundos a tener red; si no la consigue, la protección no se reanuda, precisamente para no dejar el disco cifrado sin una copia de la clave.

Todo esto conecta con el uso del TPM (Trusted Platform Module). El TPM almacena claves, refuerza la autenticación previa al arranque y permite que BitLocker vincule el estado del equipo a la capacidad de descifrar el volumen. Puedes comprobar si tu PC tiene TPM y su fabricante desde Windows o desde la consola, lo que es clave para saber qué opciones de protección vas a tener disponibles.

BitLocker con y sin TPM, particiones y requisitos básicos

Para que BitLocker funcione en la unidad del sistema operativo, Windows necesita cumplir algunos requisitos. El más evidente es la existencia de al menos dos particiones: una para el sistema (cifrada) y otra pequeña sin cifrar para los archivos de arranque. Incluso pueden aparecer problemas del tipo cuando Windows indica que no hay espacio si la estructura de particiones no es la esperada.

Cuando cuentas con TPM, lo normal es usarlo como método de autenticación principal y, si hace falta, combinarlo con algo que tú sabes o tienes: PIN de arranque, clave de inicio guardada en un USB, etc. BitLocker admite autenticación multifactor, pero su enfoque es peculiar: combina un secreto almacenado en el TPM con factores adicionales como un PIN o una clave en un dispositivo externo, en vez de limitarse a usuario/contraseña como en un login normal.

Sin TPM también se puede cifrar la unidad del sistema, pero con matices. En ese caso, BitLocker exige que uses otros métodos como un PIN o una clave de inicio almacenada en una unidad USB, y hay que habilitarlo mediante directivas (GPEDIT u otras herramientas de administración). Esto incrementa la responsabilidad del usuario: si pierdes esa clave o ese pendrive, bloqueas el acceso al sistema.

Los derechos de usuario para gestionar BitLocker no son triviales: hacen falta permisos de administrador para activar el cifrado, gestionar claves, suspender la protección o descifrar una unidad. En entornos empresariales se suelen delegar estas tareas en grupos concretos y se registran en el sistema eventos para auditoría.

Otro detalle importante es el orden de arranque. Si el equipo está protegido con BitLocker, se recomienda que arranque siempre primero desde el disco interno cifrado, dejando la opción de arranque desde USB o red detrás, y protegida en BIOS/UEFI con contraseña. Así se reduce el riesgo de que alguien intente manipular el entorno de arranque para saltarse el cifrado.

Actualizaciones de Windows, suspender BitLocker y rendimiento

Cuando toca actualizar de versión de Windows o instalar grandes paquetes de actualización, surge la duda: ¿hay que desactivar BitLocker, suspenderlo o se puede dejar tal cual? Windows permite actualizar con BitLocker habilitado, pero muchas veces suspende la protección temporalmente para evitar que los cambios en el arranque fuercen un modo de recuperación.

Suspender BitLocker no es lo mismo que descifrar. Al suspender, las claves siguen ahí, pero el sistema deja de exigir la autenticación de prearranque durante un número limitado de reinicios, de modo que se pueda completar la actualización sin que el cambio en archivos de arranque o en el kernel active el modo de recuperación. Al terminar, Windows intenta reanudar la protección automáticamente.

Descifrar, en cambio, implica quitar completamente el cifrado del volumen, un proceso largo y que deja tus datos en claro durante ese tiempo. Por eso, salvo escenarios muy específicos, es preferible suspender y no descifrar cuando vas a actualizar o hacer mantenimiento, especialmente en portátiles que salen de la oficina.

En cuanto al rendimiento, BitLocker está bastante pulido. En equipos modernos con SSD y aceleración por hardware (AES-NI y similares), la penalización de rendimiento suele ser poco apreciable. La percepción de lentitud también puede venir de otras causas del sistema, por ejemplo problemas al calcular el tamaño de carpetas que aumentan la sensación de que todo va más lento.

El cifrado inicial es robusto frente a apagados inesperados: si apagas o se corta la luz, al volver a encender el equipo BitLocker continúa el proceso donde lo dejó, tanto si estaba cifrando como descifrando. No se dedica a leer y escribir toda la unidad en cada operación cotidiana; cifra y descifra solo los bloques que se usan en cada lectura/escritura, sobre la marcha.

Implementación empresarial, cambios de hardware y errores de integridad

En empresas, lo normal es automatizar la implantación de BitLocker. Se puede desplegar mediante políticas de grupo, scripts y herramientas de gestión (Intune, System Center, etc.), forzando que todos los portátiles se cifren al unirse al dominio o a Entra ID, guardando las claves de recuperación en Active Directory o en la nube.

Lógicamente, el impacto de rendimiento se tiene en cuenta, pero con hardware actual es asumible. El tiempo más delicado es el cifrado inicial, que muchas veces se programa fuera de horas de trabajo o se combina con cifrado solo de espacio usado para reducir el impacto. Este modo cifra únicamente los sectores con datos, dejando el espacio libre sin cifrar hasta que se vaya ocupando.

BitLocker vigila también la integridad del entorno de arranque. Ciertos cambios del sistema pueden desencadenar un error en la comprobación de integridad y forzar el modo de recuperación: modificaciones de BIOS/UEFI, cambios en el gestor de arranque, pasar de modo Legacy a UEFI o viceversa, tocar el arranque seguro, añadir/quitar tarjetas PCIe, o manipular discos.

El TPM mide ese entorno en sus PCR (por ejemplo, PCR 7 para el arranque seguro). Si algo impide que BitLocker se enlace correctamente a PCR 7, puede que ya no se considere confiable el estado del sistema y se pida la clave de recuperación. Es una medida de defensa frente a ataques que intentan alterar el proceso de arranque para capturar claves o saltarse el cifrado.

Sobre intercambiar discos: una unidad del sistema cifrada con BitLocker no puede simplemente moverse a otro PC y arrancar sin más. En el mejor de los casos, podrás montar el disco en otro equipo y usar la clave de recuperación para acceder a los datos, pero el arranque normal queda ligado a la plataforma original vía TPM. Por eso, cuando se hace reutilización de hardware, es habitual descifrar o realizar un borrado seguro antes de mover discos entre máquinas.

Gestión de claves: contraseñas, PIN, claves de inicio y recuperación

BitLocker trabaja con varios tipos de secretos y conviene no mezclarlos. Está la contraseña de propietario del TPM, las contraseñas de recuperación, las claves de recuperación de 48 dígitos, los PIN de arranque, los PIN mejorados y las claves de inicio en USB. Cada uno cumple un papel diferente en la cadena de protección.

Las contraseñas y claves de recuperación pueden almacenarse de varias formas: cuenta Microsoft, Entra ID, Active Directory, archivos impresos, ficheros protegidos en otras ubicaciones, etc. En entornos corporativos, es habitual que las contraseñas de recuperación se vuelquen automáticamente a AD DS o Entra ID y quede constancia en el registro de eventos del cliente de si la copia se ha hecho bien o ha fallado, para que soporte pueda intervenir.

Se pueden añadir métodos de autenticación adicionales sin descifrar la unidad siempre que tengas ya acceso con alguno de los métodos existentes. Por ejemplo, si solo usas TPM, puedes agregar un PIN o una clave de inicio en USB para reforzar la seguridad. Esto tiene sentido en equipos que viajan mucho o almacenan información especialmente sensible.

La pregunta clave: ¿qué pasa si pierdes toda la información de recuperación? Si no tienes ni contraseña de recuperación, ni clave de recuperación, ni formas alternativas de autenticación, el diseño de BitLocker hace que los datos sean irrecuperables. Qué hacer paso a paso en caso de pérdida o compromiso de claves es algo que conviene tener documentado por adelantado.

Un mismo dispositivo USB puede hacer doble función: puede llevar la clave de inicio y también la clave de recuperación almacenada como fichero. Asimismo, puedes guardar la clave de inicio en varias memorias USB distintas y generar múltiples claves de inicio diferentes para la misma máquina, igual que puedes gestionar varias combinaciones de PIN con políticas específicas de complejidad y longitud.

En cuanto a la criptografía interna, BitLocker utiliza varias claves de cifrado que trabajan en cascada: una clave maestra de volumen, claves de cifrado de datos, claves de protector, etc., almacenadas en el TPM y/o en el disco de forma cifrada. El TPM, el PIN y otros factores se usan para derivar la clave maestra de volumen sin exponerla directamente al usuario.

BitLocker To Go, USB cifrados y problemas típicos

Cuando el cifrado se aplica a unidades extraíbles, entra en juego BitLocker To Go. Es la variante de BitLocker para pendrives, discos externos y demás unidades portátiles, pensada para que, si pierdes el dispositivo, los datos sigan protegidos. Al conectar la unidad en un equipo Windows compatible, puedes desbloquearla con contraseña o con otros métodos definidos.

BitLocker To Go plantea dudas habituales: ¿por qué no puedo guardar la clave de recuperación en mi propia unidad flash?, ¿por qué no se desbloquea automáticamente una unidad de datos?, ¿qué hago si la clave de recuperación en un USB no se lee? En general, Windows evita almacenar la clave de recuperación en la misma unidad que se está cifrando, para que no desaparezca con ella. Para el desbloqueo automático de unidades de datos, es necesario configurarlo explícitamente y que la unidad del sistema esté cifrada y confiable.

Si la clave de recuperación en una unidad flash no se puede leer (por daños físicos o lógicos), tendrás que recurrir a copias alternativas (Entra ID, AD DS, impresiones, etc.). Si esa copia era la única, el riesgo de pérdida permanente de datos es real. De nuevo, el diseño prefiere la confidencialidad a la recuperabilidad cuando no hay pruebas sólidas de propiedad.

El bloqueo de una unidad de datos puede hacerse manualmente además de de forma automática al apagar o quitar el dispositivo. Windows ofrece la utilidad manage-bde.exe para bloquear una unidad con un comando sencillo:

Bloqueo: manage-bde.exe <letra_unidad> -lock

Con ese comando puedes dejar una unidad inaccesible sin necesidad de expulsarla físicamente. Las unidades extraíbles, además, se bloquean solas cuando las desconectas del equipo, reforzando la protección en escenarios donde se comparten dispositivos entre ordenadores.

BitLocker con Active Directory, Entra ID y registro de eventos

En redes corporativas, BitLocker y BitLocker To Go se integran con los Servicios de dominio de Active Directory (AD DS) y con Microsoft Entra ID en la nube. Lo que se almacena en AD DS suelen ser las claves de recuperación y metadatos asociados al equipo, de forma que el departamento de soporte pueda ayudar a un usuario bloqueado sin comprometer la seguridad del resto.

Si BitLocker se habilita en un equipo antes de unirlo al dominio, hay matices: la clave de recuperación que ya existía no se subirá automáticamente a AD DS salvo que se fuerce o se regenere. Por eso, muchas guías de despliegue recomiendan unir primero el equipo al dominio y después activar BitLocker mediante políticas que aseguren la copia de la clave.

Cuando se cambia la contraseña de recuperación y se almacena la nueva en AD DS, se sobrescribe la anterior o se gestiona como nueva entrada según la configuración. Si inicialmente falló la copia de seguridad, BitLocker puede intentar repetir ese guardado más adelante, y hay eventos en el visor de sucesos que reflejan estos éxitos o errores, algo esencial para auditoría.

En el caso de dispositivos unidos a Entra ID, el comportamiento es similar pero orientado a la nube. El sistema intenta exportar la clave de recuperación automáticamente cuando suspende y reanuda la protección como parte de flujos de actualización o restablecimiento, y el éxito o fracaso de esas operaciones condiciona si la protección se reactiva.

Seguridad práctica en Windows: malware, UAC y “trucos milagro”

Mucha de la frustración con Windows viene de seguir listas de “trucos para acelerar” que en realidad degradan la seguridad o la estabilidad. Desactivar componentes clave como Windows Defender, el firewall, la indexación o Restaurar sistema puede hacer más daño que bien, sobre todo en Vista, 7 y sucesores, donde algunas de estas funciones están mucho mejor integradas que en XP.

Windows Defender es un antispyware razonablemente sólido que se integra con el sistema, y se puede complementar con otras herramientas como Spybot u otras soluciones antimalware. Lo importante no es solo tener un antivirus actualizado, sino también una capa de protección en tiempo real contra cambios sospechosos en el registro, secuestro de navegador y demás. Quitar estas protecciones sin sustituirlas por otras equivalentes es como quitar el cinturón de seguridad porque “molesta”.

Otro pilar de la seguridad moderna de Windows es el Control de Cuentas de Usuario (UAC). UAC hace que incluso las cuentas de administrador ejecuten los programas inicialmente con privilegios limitados, y solo suban de nivel cuando el usuario lo autoriza explícitamente. Así, si un archivo malicioso intenta colarse, es más fácil detectar comportamientos raros (como que para ver una simple foto el sistema pida elevar privilegios).

Algunos usuarios desactivan UAC porque les parece pesado que pregunte tanto, especialmente justo después de instalar el sistema, cuando están configurando drivers y programas. Sin embargo, apagar UAC deja a Windows en una situación parecida a la de XP: cualquier cosa que se ejecute bajo tu usuario puede tocar todo el sistema. Es una decisión que hay que valorar muy seriamente antes de tomarla.

Algo similar pasa con opciones como Restaurar sistema o la desfragmentación automática. Restaurar sistema puede consumir varios gigas, pero el día que una instalación se estropea o un driver deja el sistema inestable, tener puntos de restauración puede ahorrarte horas de reinstalación. Esto está relacionado con cómo Windows crea archivos temporales que nunca se eliminan y puede agravar problemas de espacio y rendimiento.

Gestión de inicio, servicios y rendimiento real de Windows

Más allá de la seguridad, el rendimiento percibido de Windows depende mucho de cómo gestionas el arranque. La herramienta msconfig (Configuración del sistema) y el administrador de tareas permiten ver qué programas se cargan al iniciar y desactivar los que no necesitas. El truco está en distinguir entre servicios críticos y añadidos “de cortesía” de las aplicaciones.

En general, es más seguro dejar en paz los servicios de Microsoft y centrarse en todo lo que han ido instalando programas de terceros: inicios rápidos de suites ofimáticas, agentes de actualización residentes, lanzadores de reproductores, utilidades redundantes de impresoras y software de seguridad excesivamente pesado. Cuantos más procesos se carguen al inicio, más memoria y CPU se consumen sin aportar valor real, y a veces se manifiesta en que Windows funciona bien con un usuario y mal con otro en esa misma máquina.

Los antivirus son un buen ejemplo: productos como ciertas ediciones de Norton o Panda pueden penalizar muchos segundos el arranque en equipos modestos, mientras que alternativas más ligeras (AVG Free, Windows Defender mejorado, o soluciones integradas de Microsoft) funcionan de forma menos intrusiva. Lo esencial es no renunciar a tener un antivirus por completo solo para ganar unos segundos.

También hay funciones pensadas precisamente para mejorar la sensación de fluidez, como ReadyBoost (que usa una memoria USB rápida como caché) o la hibernación. La hibernación copia el contenido de la RAM al disco y apaga el equipo, permitiendo luego volver exactamente al estado previo en menos tiempo que un arranque en frío. Puede suponer un ahorro importante de tiempo si sueles trabajar siempre con el mismo conjunto de aplicaciones abiertas.

Por último, muchos “trucos” recomiendan desinstalar características de Windows para ahorrar unos pocos megas, pero eso rara vez compensa. Quitar componentes puede eliminar herramientas útiles (como la aplicación Recortes en Vista/7, integrada en características de Tablet PC), mientras que el espacio ganado es insignificante frente a lo que ocupa cualquier aplicación moderna o juego actual.

Windows, Linux, controladores y la experiencia con el hardware

La comparación entre Windows y Linux en el manejo del hardware es casi un clásico. Hay testimonios en tono satírico de usuarios que pasan de Linux a Windows y se encuentran con que el sistema no reconoce particiones ext o JFS, no ofrece “modo live” desde USB, exige controladores específicos y reinicios constantes para instalar cualquier cosa.

En ese tipo de relatos, instalar Windows 7 desde una ISO termina borrando o machacando el gestor de arranque Linux (GRUB), el sistema no detecta la WiFi, la gráfica tiene drivers genéricos y no hay codecs para MKV. El usuario se ve obligado a tirar de GParted para particionar, descargar controladores manualmente de cada fabricante, instalar reproductores como VLC y paquetes de códecs, y lidiar con reinicios tras cada cambio. Todo ello contrasta con la experiencia de muchas distros Linux actuales, que arrancan en modo live desde USB, reconocen más hardware de golpe y montan particiones Linux sin drama.

En el terreno del almacenamiento externo, ocurre algo parecido. Linux puede leer y escribir en multitud de sistemas de archivos (ext, Btrfs, XFS, JFS, etc.), mientras que Windows sigue limitado oficialmente a NTFS, exFAT y FAT en cuanto a escritura nativa. Si tu disco está en JFS, por ejemplo, Windows lo verá como un dispositivo, instalará un controlador genérico USB, pero no podrá montar la partición ni mostrar tus vídeos.

La experiencia con USB se ve además salpicada por la ya comentada “reinstalación” constante de controladores. Cada nuevo pendrive, cada nuevo puerto o incluso cada teclado USB distinto puede disparar un proceso de instalación que, en un entorno limpio, no tarda mucho, pero que en un equipo cargado de software puede volverse tedioso. De ahí viene la sensación de que el sistema siempre está “colocando drivers” para todo.

En el mundo Linux, en cambio, la mayor parte de los controladores relevantes vienen integrados en el kernel o en paquetes fácilmente actualizables mediante gestores de paquetes. No es que Linux no tenga sus propias complicaciones (firmware propietario, compilación de módulos, etc.), pero la filosofía de “todo en repositorios” simplifica mucho la vida a largo plazo una vez te acostumbras.

Bloqueo de sesión, atajos y protección del puesto cuando te levantas

Hasta ahora hemos hablado de cifrado, hardware y arranque, pero hay un aspecto más cotidiano: proteger tu sesión cuando te levantas del puesto, y resolver problemas como la salida del reposo con la pantalla en negro.

Uno de los más útiles es el bloqueo dinámico. Si tu PC tiene Bluetooth, puedes vincular tu smartphone u otro dispositivo compatible y hacer que Windows bloquee la sesión cuando pierda la conexión, es decir, cuando te alejes físicamente. Se configura desde Configuración > Cuentas > Opciones de inicio de sesión, tras emparejar el móvil en el apartado de dispositivos Bluetooth, y también sirve para casos como salida del reposo con el WiFi desactivado en algunos equipos.

También puedes recurrir a soluciones como Auto Lock de Lenovo: un pequeño programa que inicia una cuenta atrás cuando dejas de mover el ratón o usar el teclado, y al cumplirse bloquea la sesión, suspende, apaga o incluso reinicia el equipo según lo que configures. Eso sí, al ser una aplicación residente, alguien con conocimientos suficientes podría cerrarla si tiene acceso físico al PC.

Para quienes prefieren algo simple y manual, hay atajos de teclado y accesos directos. La combinación Win + L bloquea de inmediato la sesión mostrando la pantalla de inicio de sesión, mientras que Alt + F4, usado sobre el escritorio sin ventanas activas, abre el cuadro para suspender, hibernar o apagar. Si quieres algo todavía más directo, puedes crear un acceso directo en el escritorio que llame a:

Suspender: C:\Windows\System32\rundll32.exe powrprof.dll, SetSuspendState

y así suspender el equipo con doble clic. Algunos teclados incluyen incluso teclas dedicadas o programables para bloquear o suspender el PC directamente desde su propio software, lo que puede resultar muy cómodo en oficinas abiertas.

Otro enfoque distinto es proteger solo ciertos datos en lugar de toda la sesión. OneDrive para suscriptores de Microsoft 365 incluye el “Almacén personal”, una carpeta con protección reforzada a la que accedes con tu contraseña de cuenta o mediante Microsoft Authenticator. Para proteger carpetas locales con contraseña, versiones recientes de Windows obligan a recurrir a software de terceros (Folder Protect, Folder Lock, etc.), ya que la protección nativa con password que existía hasta Windows 7 desapareció en las versiones siguientes.

Borrado seguro de SSD en Linux: SATA, NVMe y comandos críticos

Cuando quieres dar de baja un SSD cifrado con BitLocker o que ha contenido datos sensibles, lo más prudente es realizar un borrado seguro. En entornos Linux existen herramientas específicas para lanzar los comandos de borrado seguro tanto en SSD SATA como en NVMe, respetando la implementación del propio fabricante.

Para unidades SATA, el proceso típico pasa por asegurarse de que la unidad no está congelada ni protegida por contraseña. Con lsscsi localizas el dispositivo (/dev/sdX) y con hdparm -I /dev/sdX | grep frozen compruebas si está en estado “frozen”. Si lo está, puedes probar a suspender el sistema (systemctl suspend) y reanudarlo, o a reconectar la unidad en caliente (cuando el hardware y la BIOS lo permiten), hasta que el comando devuelva “not frozen”.

Después se configura una contraseña de usuario en la unidad con hdparm –security-set-pass p /dev/sdX (donde “p” es la contraseña elegida) y se lanza el borrado seguro con hdparm –security-erase p /dev/sdX. Este comando puede tardar varios minutos, pero al completarse borra la clave interna del SSD, dejando los datos irrecuperables a efectos prácticos. Si algo sale mal y la unidad queda bloqueada, se puede intentar hdparm –security-disable p /dev/sdX y repetir el proceso.

En el caso de NVMe, la herramienta de referencia es nvme-cli. Primero identificas la unidad con nvme list para localizar /dev/nvmeXn1 y luego lanzas un formateo seguro con nvme format /dev/nvmeXn1 –ses=1, donde el parámetro –ses=1 indica un borrado de datos de usuario. De nuevo, el comando puede tardar un rato y hay que ejecutarlo con privilegios de root.

Estos procedimientos son especialmente relevantes si el SSD ha estado cifrado con BitLocker o sistemas similares. El borrado seguro a nivel de firmware garantiza que no quedan claves residuales ni bloques de datos recuperables mediante técnicas forenses simples, algo esencial antes de vender, reciclar o reasignar el hardware.

Muchos de los “comportamientos raros” que ves en Windows al conectar USB, al actualizar, al arrancar o al proteger tu sesión no son fallos caprichosos, sino consecuencias directas de cómo el sistema prioriza la seguridad, la compatibilidad y, a veces, la inercia histórica. Saber por qué Windows reinstala tus USB, cómo funciona BitLocker, qué papel juegan el TPM y las directivas de dominio, y qué herramientas tienes para gestionar el arranque, el bloqueo de sesión o el borrado seguro de discos te pone en una posición mucho más fuerte para decidir qué tocar, qué no tocar y cómo proteger de verdad tus datos.