Cifrado de discos en portátiles: BitLocker bien configurado en empresa

Un portátil perdido en un taxi o robado en un aeropuerto es, bajo el RGPD, una brecha de datos que tienes obligación de notificar a la AEPD si contiene datos personales de clientes o empleados. La notificación implica comunicarlo en 72 horas, documentar el incidente, y en muchos casos notificar también a los afectados. Si el disco estaba cifrado y el atacante no puede leer los datos, no hay brecha notificable. BitLocker es la solución de cifrado integrada en Windows y, bien configurada, cubre este escenario exactamente, sin coste adicional de licencia de software.

El problema en la mayoría de pymes no es que BitLocker sea difícil de configurar: es que nadie lo ha activado, no hay proceso de despliegue, y cuando se pierde un portátil no hay forma de saber si ese equipo específico estaba cifrado o no. Esta guía describe el proceso completo, con especial atención a la custodia de claves, que es donde casi todos los despliegues mal hechos fallan.

1. Requisitos técnicos antes de activar BitLocker

BitLocker requiere Windows 10/11 Pro o Enterprise. No está disponible en Windows Home. La mayoría de portátiles de empresa adquiridos a través de canal B2B vienen preinstalados con Windows Pro, pero vale la pena verificarlo antes de planificar el despliegue. En Configuración del sistema (msinfo32) puedes ver la edición exacta. Equipos con Windows Home tendrán que actualizar la licencia (aproximadamente 99 euros por equipo) o usar VeraCrypt como alternativa gratuita de código abierto con funcionalidad equivalente.

• TPM 2.0: la mayoría de equipos fabricados desde 2016 lo incluyen. El TPM (Trusted Platform Module) es el chip de seguridad que almacena las claves de cifrado y vincula el disco al hardware específico del equipo. BitLocker puede funcionar sin TPM, pero en ese caso requiere introducir un PIN o insertar una clave USB en cada arranque, lo que genera fricción con el usuario y a menudo lleva a desactivar el cifrado. Con TPM, el arranque es transparente y el cifrado funciona sin intervención del usuario en el día a día.
• Arranque seguro (Secure Boot) activado: recomendable para que el cifrado proteja también contra modificaciones al bootloader. Se verifica y activa desde la UEFI del equipo (BIOS).
• Cuenta de administrador: para activar BitLocker se necesitan permisos de administrador local o de dominio. Los usuarios estándar no pueden activarlo ni desactivarlo.

2. Custodia de claves: el punto que más falla

BitLocker genera una clave de recuperación de 48 dígitos que es la única forma de acceder al disco si el TPM falla, si el usuario olvida el PIN, si el disco se traslada a otro equipo, o si hay actualizaciones del firmware que invalidan el estado del TPM. Si esta clave se pierde, el acceso al disco es matemáticamente irrecuperable. No hay backdoor, no hay soporte técnico de Microsoft que pueda recuperarla, no hay herramienta forense que la fuerce. Es la naturaleza del cifrado AES-256.

Las opciones de custodia de clave, de mayor a menor recomendación para entornos empresariales:

• Azure AD / Microsoft Entra ID: si los equipos están unidos a Azure AD (o son híbridos), BitLocker puede guardar la clave automáticamente en la nube de Microsoft. El administrador puede recuperarla desde el portal de Entra ID o desde Intune si hay un incidente. Esta es la opción más recomendable para pymes con Microsoft 365.
• Active Directory on-premise: si hay dominio Windows local, las claves pueden custodiarse en el AD. Requiere habilitar las políticas de grupo de BitLocker en el dominio. Menos común en pymes modernas que han migrado a cloud.
• Gestor de contraseñas corporativo: si no hay Azure AD ni AD local, exportar la clave de recuperación a un archivo y almacenarla en el gestor de contraseñas corporativo (1Password Teams, Bitwarden Business, KeePass corporativo). La clave debe estar en un vault separado al que solo tienen acceso los administradores, no el usuario del equipo.
• Impresa y guardada en caja fuerte: última opción válida para empresas con mínima infraestructura IT. La clave impresa debe estar en un lugar físicamente seguro, etiquetada con el identificador del equipo.

Lo que no se debe hacer: guardar la clave en el propio equipo que se está cifrando, en el correo personal del usuario, en un archivo en el escritorio del equipo, o en ningún lugar al que el propio usuario del equipo tenga acceso fácil. Si la clave de recuperación está en el equipo robado, el atacante puede acceder al disco con ella.

3. Comparativa de opciones de despliegue

4. Despliegue en equipos existentes: sin interrumpir la operativa

Activar BitLocker en un portátil en uso no requiere que el usuario pare de trabajar. El cifrado inicial del disco ocurre en segundo plano mientras el equipo sigue funcionando con normalidad. El proceso puede tardar entre 30 minutos y cuatro horas dependiendo del tamaño y tipo del disco: los SSDs modernos (NVMe especialmente) son rápidos; los discos HDD mecánicos más lentos. Durante ese proceso puede haber una leve ralentización en operaciones de disco intensivo, pero en uso normal el usuario no percibe diferencia.

El proceso de activación manual en un equipo individual es directo: Buscar "BitLocker" en el menú de inicio, seleccionar la unidad C: y "Activar BitLocker", elegir cómo guardar la clave de recuperación (aquí es donde debe irse a Azure AD o al gestor de contraseñas), y seguir el asistente. El sistema pide reiniciar el equipo para iniciar el cifrado, que continúa en segundo plano tras el reinicio.

Para un despliegue en múltiples equipos, Microsoft Intune (incluido en Microsoft 365 Business Premium) permite configurar una política de BitLocker que se aplica automáticamente a todos los equipos registrados. Cuando un equipo nuevo se une al tenant o cuando se configura la política por primera vez, BitLocker se activa sin intervención del usuario o del técnico equipo por equipo. La clave de recuperación se guarda automáticamente en Azure AD. Si tienes un proveedor de mantenimiento informático que gestiona los equipos de la empresa, el despliegue con Intune puede incluirse en el servicio mensual sin coste de proyecto adicional.

5. Caso real: un portátil robado sin brecha notificable

Un bufete de abogados de Barcelona con 14 empleados tenía BitLocker activo en todos sus portátiles desde una implantación de Microsoft Intune realizada en 2023. Las claves de recuperación estaban custodiadas automáticamente en Azure AD. En marzo de 2025, a una abogada socia le robaron el portátil en el aeropuerto de El Prat cuando regresaba de un viaje.

El protocolo de respuesta fue: bloquear de forma remota el equipo desde Intune (se puede hacer aunque el equipo esté apagado, la acción se ejecuta cuando se enciende), verificar en el panel de Intune que el cifrado estaba activo y la clave custodiada, y preparar el informe de la incidencia documentando las medidas técnicas implementadas (BitLocker AES-256 activo, TPM vinculado al hardware, clave no expuesta).

La conclusión del análisis de la incidencia: no había brecha notificable bajo el RGPD porque los datos del disco eran inaccesibles. La documentación del incident y las medidas técnicas quedaron en el registro de actividades de tratamiento. Ninguna notificación a la AEPD fue necesaria. Sin BitLocker, el portátil contenía documentos de clientes, correos corporativos y credenciales guardadas en el navegador. El coste de gestionar una notificación de brecha y la comunicación a los clientes afectados habría sido significativamente mayor que el tiempo invertido en la implantación de BitLocker. Para entender el marco RGPD completo alrededor de este tipo de incidentes, el artículo sobre los riesgos RGPD más frecuentes en pymes describe los escenarios que más sancionan las inspecciones.

6. Validación: verificar que el cifrado está activo

Activar BitLocker no garantiza que siga estando activo semanas o meses después. Hay escenarios conocidos donde BitLocker se puede desactivar silenciosamente o quedar en estado de suspensión: actualizaciones de firmware de la BIOS, actualizaciones del sistema operativo que requieren reinicio con parámetros especiales, cambios en la configuración del TPM, o simplemente que alguien con permisos de administrador lo desactivó temporalmente para alguna tarea y no lo reactivó.

La verificación manual del estado se hace con el comando manage-bde -status en una ventana de cmd con permisos de administrador. El output muestra el estado del cifrado ("Fully Encrypted" indica que todo el disco está cifrado), el método de cifrado (AES-256 es el estándar), y el estado de protección ("Protection On" indica que el TPM o el PIN están activos). Un estado de "Suspended" indica que el cifrado existe pero la protección está temporalmente desactivada.

Con Intune, el panel de cifrado de dispositivos muestra el estado de BitLocker de todos los equipos gestionados en tiempo real. Las alertas automáticas pueden configurarse para notificar al administrador si un equipo pasa a estado "Not Encrypted" o "Suspended". Esta verificación centralizada es la diferencia entre saber que tus equipos están cifrados y creer que lo están. La verificación periódica del cifrado es parte del servicio de ciberseguridad gestionada junto con otras comprobaciones de postura de seguridad.

Para portátiles de empresa que también son gestionados mediante una política BYOD o MDM, el cifrado del dispositivo es uno de los requisitos que el MDM puede verificar antes de permitir el acceso a recursos corporativos. Esto crea una dependencia positiva: el equipo sin cifrado activo no puede acceder al correo corporativo ni a SharePoint, lo que incentiva al usuario a mantener el cifrado activo. El artículo sobre políticas BYOD para pymes describe cómo integrar el requisito de cifrado en la política de dispositivos.

7. FileVault para Macs: el equivalente en el ecosistema Apple

Si la empresa tiene equipos Mac además de Windows, FileVault es el equivalente de BitLocker para macOS. También está incluido sin coste en macOS, ofrece cifrado AES-256 del disco completo, y tiene una clave de recuperación que debe custodiarse externamente. En Macs con Apple Silicon (M1, M2, M3), el cifrado es especialmente robusto porque está integrado al nivel del chip Secure Enclave.

La activación de FileVault se hace desde Preferencias del Sistema → Seguridad y Privacidad → FileVault. Al activarlo se genera una clave de recuperación que puede custodiarse en el Apple ID de la empresa (no recomendable para uso corporativo) o externamente en el gestor de contraseñas corporativo. Con Jamf Pro o Microsoft Intune para Mac, la custodia de la clave puede centralizarse de la misma forma que en Windows con Azure AD.

Por dónde empezar mañana

1. Haz un inventario de qué equipos tienen Windows Pro y qué equipos tienen Windows Home: en cada equipo, Panel de control → Sistema. O desde Intune si ya está habilitado. Los equipos con Windows Home necesitan actualización antes de poder activar BitLocker. Ese inventario define el alcance y el coste del despliegue.
2. Define el método de custodia de claves antes de activar nada: si tienes Microsoft 365, verifica si los equipos están unidos a Azure AD (aparece en la pantalla de inicio de sesión como "unido a dominio" o "cuenta de trabajo"). Si lo están, la custodia en Azure AD está disponible sin configuración adicional. Si no lo están, define qué gestor de contraseñas corporativo usará para las claves de recuperación antes de activar BitLocker en ningún equipo.
3. Activa BitLocker en un equipo de prueba primero: el equipo del propio responsable IT o del gerente. Verifica que el proceso funciona correctamente, que la clave de recuperación se guarda en el lugar definido, y que puedes recuperar el acceso usando esa clave (haz la prueba). Una vez verificado, despliega en el resto de equipos en grupos pequeños.
4. Documenta el estado de cifrado de cada equipo en el inventario de activos IT de la empresa, con fecha de activación y método de custodia de clave. Esta documentación es la evidencia que necesitas para demostrar ante la AEPD que tenías medidas técnicas adecuadas si hay un incidente.

Preguntas frecuentes