Al almacenar datos confidenciales en el equipo, es fundamental que tome las medidas necesarias para protegerlos (especialmente si utiliza un equipo portátil o una tableta). Esto no es sólo para evitar que la NSA acceda a sus archivos, sino más bien para evitar que sus datos privados caigan en manos equivocadas en caso de que pierda su dispositivo o se lo roben.
En el camino usted puede proteger sus datos es mediante el uso de cifrado. El cifrado es básicamente el proceso de hacer cualquier tipo de datos ilegibles por cualquier persona sin la autorización apropiada. Si utiliza el cifrado para codificar sus datos, éstos se volverán ilegibles incluso después de compartirlos con otras personas. En otras palabras, sólo usted con la clave de encriptación correcta puede hacer que los datos sean legibles de nuevo.
Windows 10, similar a las versiones anteriores, incluye el Cifrado de unidad BitLocker, una característica que le permite usar el cifrado en el disco duro del equipo y en unidades extraíbles para evitar que los curiosos husmeen en los datos confidenciales.
BitLocker es una herramienta integrada en Windows que le permite cifrar todo el disco duro para una mayor seguridad. BitLocker requiere de una edición Profesional o Enterprise de Windows 8, 8.1, 10 o la versión Ultimate de Windows 7.
Nota: Comenzando con Windows 8.1, las ediciones Home y Pro de Windows incluyen una función "Cifrado de dispositivo" (una característica también incluida en Windows 10) que funciona de manera similar. Recomendamos el cifrado de dispositivos si su computadora lo admite, BitLocker para usuarios (con edición Profesional o Enterprise de Windows 8, 8.1, 10 o la versión Ultimate de Windows 7) que no pueden usar el cifrado de dispositivos y VeraCrypt para personas que usan Windows Home y donde el cifrado de dispositivos no esté habilitado.
Encriptar una unidad completa o crear un contenedor encriptado?
Muchas guías hablan sobre la creación de un contenedor BitLocker que funciona de forma muy similar al tipo de contenedor cifrado que puede crear con productos como Veracrypt. Es un nombre poco apropiado, pero puedes lograr un efecto similar. BitLocker funciona al encriptando unidades completas. Esa podría ser la unidad del sistema, una unidad física diferente o un disco duro virtual que existe como un archivo y está montado en Windows.
La diferencia es en gran medida semántica. En otros productos de cifrado, normalmente se crea un contenedor cifrado y luego lo monta como una unidad en Windows cuando necesita usarlo. Con BitLocker, puede crear un disco duro virtual y luego encriptarlo.
Para este artículo, nos concentraremos en habilitar BitLocker para una unidad física existente.
Cómo cifrar una unidad con BitLocker
Para usar BitLocker para una unidad, todo lo que tiene que hacer es habilitarlo, elija un método de desbloqueo (contraseña, PIN, etc.) y luego configure algunas otras opciones. Sin embargo, antes de entrar en eso, debe saber que el uso del cifrado de disco completo de BitLocker en una unidad del sistema generalmente requiere una computadora con un Módulo de plataforma confiable (TPM - Trusted Platform Module) en la placa base de su PC. Este chip genera y almacena las claves de cifrado que utiliza BitLocker. Si su PC no tiene un TPM, puede usar la Política de grupo para permitir el uso de BitLocker sin un TPM. Es un poco menos seguro, pero aún más seguro que no usar ningún cifrado.
Puede cifrar una unidad que no sea del sistema o una unidad extraíble sin TPM y sin tener que habilitar la configuración de la directiva de grupo.
En este sentido, también debe saber que existen dos tipos de cifrado de unidad BitLocker que puede habilitar:
- Cifrado de unidad BitLocker: A veces denominado BitLocker, se trata de una función de "cifrado de disco completo" que cifrará toda una unidad. Cuando se inicia el equipo, el cargador de arranque de Windows se carga desde la partición reservada del sistema y el cargador de arranque le pedirá su método de desbloqueo, por ejemplo, una contraseña. BitLocker descodificará la unidad y cargará Windows. El cifrado es, por lo demás, transparente: los archivos aparecerán como lo harían normalmente en un sistema sin cifrar, pero se almacenan en el disco de forma cifrada. También puede cifrar otras unidades en un equipo, no sólo la unidad del sistema operativo.
- BitLocker To Go: Las unidades externas, como unidades flash USB y discos duros externos, se pueden cifrar con BitLocker To Go. Se le pedirá su método de desbloqueo, por ejemplo, una contraseña, cuando conecte la unidad a su computadora. Si alguien no tiene el método de desbloqueo, no pueden acceder a los archivos de la unidad.
En Windows 7 y Windows 10, realmente no tiene que preocuparse por hacer la selección entre estos dos tipos de cifrado. Windows maneja las cosas internamente, y la interfaz que usará para habilitar BitLocker no se ve diferente. Si termina desbloqueando una unidad encriptada en Windows XP o Vista, verá la marca BitLocker to Go, así que pensamos que al menos debería saberlo.
1. Activar BitLocker para una unidad
La forma más fácil de habilitar BitLocker para una unidad es hacer clic derecho sobre la unidad en una ventana del Explorador de archivos y luego elegir el comando "Activar BitLocker". Si no ve esta opción en su menú contextual, probablemente no tenga una edición Pro o Enterprise de Windows y tendrá que buscar otra solución de cifrado.
Es así de simple. El asistente que aparece lo guiará a través de la selección de varias opciones, que hemos desglosado en las secciones siguientes.
2. Elija un método de desbloqueo
La primera pantalla que verá en el asistente de "Cifrado de unidad BitLocker" le permite elegir cómo desbloquear la unidad. Puede seleccionar varias formas diferentes de desbloquear la unidad.
Si está encriptando la unidad del sistema en una computadora que no tiene TPM, puede desbloquear la unidad con una contraseña o una unidad USB que funcione como una clave. Seleccione su método de desbloqueo y siga las instrucciones para ese método (ingrese una contraseña o conecte su unidad USB).
Si su computadora tiene un TPM, verá opciones adicionales para desbloquear la unidad del sistema. Por ejemplo, puede configurar el desbloqueo automático al inicio (cuando su computadora toma las claves de encriptación del TPM y descifra automáticamente la unidad). También puede usar un PIN en lugar de una contraseña, o incluso elegir opciones biométricas como una huella digital.
Si está encriptando una unidad que no es del sistema o una unidad extraíble, verá solo dos opciones (Tenga TPM o no). Puede desbloquear la unidad con una contraseña o una tarjeta inteligente (o ambas).
3. Haga una copia de seguridad de tu clave de recuperación
BitLocker le proporciona una clave de recuperación que puede usar para acceder a sus archivos cifrados en caso de que pierda su clave principal, por ejemplo, si olvida su contraseña o si la PC con TPM muere y tiene que acceder a la unidad desde otro sistema.
Puede guardar la clave en su cuenta de Microsoft, una unidad USB, un archivo o incluso imprimirlo. Estas opciones son las mismas tanto si está cifrando una unidad de sistema como si no.
Si realiza una copia de seguridad de la clave de recuperación en su cuenta de Microsoft, puede obtener acceso a la clave más adelante en https://onedrive.live.com/recoverykey. En caso de usar otro método de recuperación, asegúrese de mantener esta clave segura; si alguien obtiene acceso a ella, podría desencriptarla y eludir el cifrado.
También puede hacer una copia de seguridad de su clave de recuperación de múltiples maneras si lo desea. Simplemente haga clic en cada opción que desee usar, y luego siga las instrucciones. Cuando haya terminado de guardar sus claves de recuperación, haga clic en "Siguiente" para continuar.
4. Cifrar y desbloquear la unidad
BitLocker cifra automáticamente los nuevos archivos a medida que los agrega, pero debe elegir qué sucede con los archivos actualmente en su disco. Puede encriptar toda la unidad, incluido el espacio libre, o simplemente cifrar los archivos de disco usados para acelerar el proceso. Estas opciones también son las mismas tanto si está cifrando una unidad de sistema como si no.
Si está configurando BitLocker en una PC nueva, encripte solo el espacio en disco usado, es mucho más rápido. Si configura BitLocker en una PC que ha estado usando por un tiempo, debe encriptar la unidad completa para asegurarse de que nadie pueda recuperar los archivos eliminados.
Cuando haya hecho su selección, haga clic en el botón "Siguiente".
5. Elija un modo de cifrado (solo Windows 10)
Si usa Windows 10, verá una pantalla adicional que le permite elegir un método de encriptación. Si usa Windows 7 u 8, salte al siguiente paso.
Windows 10 introdujo un nuevo método de cifrado llamado XTS-AES. Proporciona integridad y rendimiento mejorados sobre el AES utilizado en Windows 7 y 8. Si sabe que la unidad que está cifrando sólo se va a utilizar en computadoras con Windows 10, vaya y seleccione la opción "Nuevo modo de cifrado". Si cree que podría necesitar usar la unidad con una versión anterior de Windows en algún momento (especialmente importante si es una unidad extraíble), elija la opción "Modo compatible".
Cualquiera que sea la opción que elija (es lo mismos para las unidades de sistema y las que no lo son), continúe y haga clic en el botón "Siguiente" cuando haya terminado, y en la siguiente pantalla, haga clic en el botón "Iniciar Cifrado".
6. Finalizar
El proceso de cifrado puede tardar de segundos a minutos o incluso más, dependiendo del tamaño de la unidad, la cantidad de datos que está cifrando y si elige cifrar el espacio libre.
Si está encriptando la unidad del sistema, se le pedirá que ejecute una comprobación del sistema BitLocker y reinicie su sistema. Asegúrese de que la opción esté seleccionada, haga clic en "Continuar" y luego reinicie su PC cuando se le solicite. Después de que la PC se reinicia por primera vez, Windows cifra la unidad.
Si está encriptando una unidad que no es del sistema o extraíble, Windows no necesita reiniciarse y el cifrado comienza de inmediato.
Cualquiera que sea el tipo de unidad que está encriptando, puede verificar el icono de Cifrado de unidad BitLocker en la bandeja del sistema para ver su progreso, y puede continuar usando su computadora mientras las unidades están encriptadas; solo funcionará más lentamente.
Desbloqueo de su unidad
Si la unidad del sistema está encriptada, desbloquearla depende del método que elija (y de si su PC tiene TPM). Si tienes TPM y elegiste tener la unidad desbloqueada automáticamente, no notarás nada diferente; solo arrancarás directamente en Windows como siempre. Si elige otro método de desbloqueo, Windows le pedirá que desbloquee la unidad (escribiendo su contraseña, conectando su unidad USB, o lo que sea).
Y si ha perdido (u olvidado) su método de desbloqueo, presione Esc en la pantalla de solicitud para ingresar su clave de recuperación.
Si ha cifrado una unidad que no es del sistema o extraíble, Windows le solicita que desbloquee la unidad cuando la acceda por primera vez después de iniciar Windows (o cuando la conecte a su PC si es una unidad extraíble). Escriba su contraseña o inserte su tarjeta inteligente, y la unidad debe desbloquearse para que pueda usarla.
En el Explorador de archivos, las unidades cifradas muestran un bloqueo dorado en el icono (a la izquierda). Ese candado cambia a gris y aparece desbloqueado cuando desbloquea la unidad (a la derecha).
Puede gestionar una unidad bloqueada: cambie la contraseña, desactive BitLocker, haga una copia de seguridad de su clave de recuperación o realice otras acciones desde la ventana del panel de control de BitLocker. Haga clic con el botón derecho en cualquier unidad encriptada y luego seleccione "Administrar BitLocker" para ir directamente a esa página.
Al igual que todo cifrado, BitLocker agrega algunos gastos generales. Las preguntas frecuentes oficiales de BitLocker de Microsoft dicen que "generalmente impone una sobrecarga de rendimiento porcentual de un dígito". Si el cifrado es importante para usted porque tiene datos confidenciales, por ejemplo, una computadora portátil llena de documentos comerciales, la seguridad mejorada es compensada.
