Una laptop corporativa olvidada en un Uber. Un disco duro que llega al servicio técnico sin ser borrado. Un equipo robado en la oficina durante el fin de semana. En cualquiera de esos escenarios, el cifrado del disco es lo único que separa un incidente menor de una fuga de datos con obligación de notificar al INAI.
BitLocker es la respuesta nativa de Microsoft a ese problema. Es la herramienta de cifrado de disco completo integrada en Windows desde hace más de una década, y para 2026 sigue siendo el control técnico más usado para proteger datos en reposo en equipos corporativos con Windows.
En esta guía te explicamos qué es BitLocker, cómo funciona, cómo activarlo en Windows 11 paso a paso, cómo gestionarlo en flotas empresariales con GPO e Intune, qué hacer cuando se pierde la clave de recuperación y cómo encaja en el cumplimiento normativo de LFPDPPP, ISO 27001 y PCI DSS.
BitLocker es la tecnología de cifrado de disco completo (FDE, full disk encryption) integrada en Windows. Cifra el contenido de una unidad de almacenamiento completa (el disco del sistema, discos adicionales o memorias USB) de manera que, sin la clave correcta, los datos no se pueden leer aunque el disco se extraiga físicamente y se conecte a otro equipo.
Microsoft lo introdujo en Windows Vista en 2007 y desde entonces ha evolucionado hasta convertirse en parte del estándar de seguridad corporativa de Windows. En 2026 cifra unidades con el algoritmo XTS-AES de 128 o 256 bits, está integrado con el chip TPM (Trusted Platform Module) presente en prácticamente todos los equipos empresariales modernos y se puede gestionar de forma centralizada desde Active Directory, Microsoft Entra ID o Microsoft Intune.
A diferencia del cifrado a nivel de archivo (como EFS, Encrypting File System), BitLocker cifra el volumen entero. Eso significa que también protege archivos temporales, el archivo de paginación, la hibernación y cualquier fragmento que el sistema operativo escriba en disco sin que el usuario se dé cuenta.
El funcionamiento de BitLocker se apoya en tres piezas: el algoritmo de cifrado, el chip TPM y los protectores de clave.
El algoritmo XTS-AES es el que convierte los datos en cifrado ilegible. Es el estándar usado desde Windows 10 versión 1511 y reemplazó al modo AES-CBC anterior. Ofrece protección frente a ataques de manipulación de bloques cifrados, lo que es relevante en discos físicos donde un atacante con acceso podría intentar alterar sectores específicos.
El chip TPM es un componente de hardware en la placa base (o integrado en la CPU en equipos más recientes) que almacena las claves criptográficas fuera del alcance del sistema operativo. Su función es asegurar que el equipo no haya sido manipulado entre apagados. Si el atacante mueve el disco a otra computadora o modifica el bootloader, el TPM detecta el cambio y bloquea el desbloqueo automático, forzando a introducir la clave de recuperación.
Los protectores de clave son los métodos que se pueden combinar para desbloquear el disco. Los más comunes son:
Adicionalmente, cada volumen cifrado tiene una clave de recuperación de 48 dígitos que se usa cuando el método principal falla (por ejemplo, después de un cambio de hardware o si el usuario olvida el PIN).
BitLocker no está incluido en todas las ediciones de Windows. Esta es la disponibilidad real en 2026:
| Edición de Windows | BitLocker completo | Cifrado de dispositivo |
|---|---|---|
| Windows 11 Home | No | Sí (si el equipo cumple requisitos) |
| Windows 11 Pro | Sí | Sí |
| Windows 11 Enterprise | Sí | Sí |
| Windows 11 Education | Sí | Sí |
| Windows 10 Pro / Enterprise / Education | Sí | Sí |
| Windows Server 2019 / 2022 / 2025 | Sí | No aplica |
En Windows Home la opción equivalente se llama cifrado de dispositivo: es una versión simplificada que se activa automáticamente al iniciar sesión con una cuenta Microsoft en equipos que cumplen ciertos requisitos de hardware (Modern Standby, HSTI, TPM 2.0). La clave se guarda en la cuenta Microsoft del usuario. No ofrece el control granular del BitLocker completo, así que para entornos empresariales solo cuenta como base.
Para usar BitLocker en su versión completa el equipo necesita: TPM 2.0 (recomendado, también soporta TPM 1.2), BIOS o UEFI compatible, partición del sistema configurada correctamente y una edición de Windows compatible. Para entornos donde se busca un sistema operativo gestionado en la nube, conviene también evaluar Windows 365 y su modelo de Cloud PC.
Hay dos caminos: por interfaz gráfica para un equipo individual o por línea de comandos para automatización.
Para administradores que necesitan activar BitLocker desde un script de despliegue, PowerShell ofrece el comando Enable-BitLocker:
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector
Para verificar el estado del cifrado en cualquier momento:
Get-BitLockerVolume
Y para suspender temporalmente el cifrado (por ejemplo, antes de actualizar el firmware o BIOS, lo que evita que el equipo pida la clave de recuperación tras el reinicio):
Suspend-BitLocker -MountPoint "C:" -RebootCount 1
Cifrar 5 equipos manualmente es manejable. Cifrar 500 requiere automatización, almacenamiento centralizado de claves y políticas verificables. Microsoft ofrece tres caminos para gestionar BitLocker a escala.
Es el camino tradicional para empresas con servidores Active Directory on-premise. Desde la consola de Group Policy Management se puede:
msFVE-RecoveryInformation).Las rutas de GPO están en: Configuración del equipo → Plantillas administrativas → Componentes de Windows → Cifrado de unidad BitLocker. Si quieres profundizar en los términos técnicos relacionados (TPM, EDR, SIEM, cifrado en reposo), revisa nuestro glosario de ciberseguridad para CTOs.
Para empresas que ya están en Microsoft Entra ID (antes Azure AD) y Microsoft Intune, la gestión se centraliza en perfiles de configuración de endpoint. Intune permite:
El cifrado silencioso es la opción más usada en empresas modernas: el equipo se cifra de forma transparente al inscribirse y el usuario nunca tiene que hacer nada.
En empresas con infraestructura mixta (algunos equipos unidos a dominio AD, otros a Entra ID), lo común es combinar GPO para flotas tradicionales e Intune para portátiles modernos y equipos de personal remoto. MBAM (Microsoft BitLocker Administration and Monitoring) fue la solución dedicada hasta 2024, pero Microsoft la descontinuó en favor de la gestión nativa desde Intune.
Tarde o temprano, en cualquier flota con BitLocker, un equipo va a mostrar la pantalla azul de recuperación de BitLocker pidiendo la clave de 48 dígitos. Las causas más frecuentes son:
La clave de recuperación se encuentra según dónde se haya configurado el almacenamiento:
Si no hay copia de la clave en ningún sitio, no hay recuperación. BitLocker está diseñado para que sin la clave, los datos sean inaccesibles. La única salida es formatear y reinstalar Windows, perdiendo todo el contenido.
BitLocker no es la única opción de cifrado de disco completo. Esta tabla resume las alternativas más comunes en entornos corporativos:
| Solución | Plataforma | Gestión empresarial | Costo | Caso ideal |
|---|---|---|---|---|
| BitLocker | Windows Pro/Enterprise | GPO, Intune, Entra ID | Incluido en la licencia | Flotas Windows corporativas |
| FileVault 2 | macOS | Jamf, Intune para Mac | Incluido en macOS | Equipos Mac en empresa |
| LUKS (dm-crypt) | Linux | Ansible, scripts propios | Open source | Servidores y workstations Linux |
| VeraCrypt | Multiplataforma | Limitada | Open source | Usuarios individuales o auditoría |
| Symantec / DigiCert Encryption | Multiplataforma | Consola centralizada | Licencia comercial | Entornos heterogéneos con compliance estricto |
En flotas mayoritariamente Windows, BitLocker es la opción por defecto: ya está incluido en la licencia de Windows Pro/Enterprise, se integra nativamente con el resto del stack de Microsoft (Defender, Intune, Entra ID, Sentinel) y no agrega un proveedor adicional al inventario. Las soluciones de terceros tienen sentido cuando hay entornos verdaderamente multiplataforma y la consola unificada justifica el costo.
El cifrado de datos en reposo no es una recomendación, es una obligación en prácticamente todos los marcos regulatorios que aplican a empresas en México y LATAM. BitLocker es una de las pocas tecnologías que permite cubrir esa obligación sin agregar software adicional al endpoint.
LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares). El artículo 19 obliga a establecer medidas de seguridad administrativas, físicas y técnicas para proteger datos personales. Cifrar laptops corporativas con BitLocker es la respuesta directa al riesgo de fuga por pérdida o robo de dispositivos, que es uno de los vectores más comunes de notificación al INAI. Para el detalle de qué controles técnicos exige la LFPDPPP, revisa nuestra guía dedicada.
ISO 27001. El control A.10.1 exige una política de uso de controles criptográficos, y el A.8.1 (gestión de activos) incluye la protección de información en dispositivos móviles. BitLocker cubre ambos cuando se gestiona desde Intune con políticas documentadas, almacenamiento centralizado de claves y reportes de cumplimiento exportables.
PCI DSS 4.0. El requisito 3.5 exige proteger el almacenamiento de datos del titular de la tarjeta mediante mecanismos como el cifrado a nivel de disco, archivo o columna. Para endpoints donde se procesa o almacena información de tarjetas (PCs de cajeros, equipos de soporte al cliente), BitLocker es uno de los controles que satisface este requisito si se complementa con monitoreo.
SOC 2 y HIPAA. Ambos marcos exigen cifrado de información sensible en reposo. BitLocker satisface el control técnico, pero la auditoría va a pedir evidencia: reportes de cumplimiento, registros de quién accedió a las claves de recuperación y eventos de cambios en la configuración del cifrado. Conoce qué controles SOC 2 cubre un SOC operativo con evidencia auditable.
BitLocker hace bien una cosa: cifrar. Pero no es un sistema de detección. No te avisa si un usuario suspendió el cifrado y no lo reactivó, si un atacante intentó deshabilitar BitLocker con privilegios elevados, o si un ransomware tipo ShrinkLocker está usando la propia funcionalidad de BitLocker para cifrar los archivos contra ti y exigir un rescate.
Estos eventos quedan en los logs de Windows (eventos 4672, 4688, eventos del proveedor Microsoft-Windows-BitLocker-API), pero nadie los está mirando si no hay un SOC operativo. Un SOC con cobertura 24/7 monitorea esos eventos en tiempo real, correlaciona cambios sospechosos en el cifrado con otros indicadores (uso de PowerShell, ejecución desde shares de red, conexiones a IPs externas) y genera la alerta antes de que el incidente escale.
Si tu empresa cifra equipos con BitLocker pero no monitorea los eventos asociados, tienes el control técnico cubierto en la auditoría, pero no tienes la operación que detecta cuando alguien intenta romperlo.
En TecnetOne, nuestro servicio TecnetSOC integra el monitoreo de eventos BitLocker dentro del SIEM 24/7: detectamos suspensiones no autorizadas, intentos de deshabilitar el cifrado, anomalías en el uso del comando manage-bde y patrones compatibles con ransomware que abusa de BitLocker. La evidencia queda registrada para auditorías de ISO 27001, LFPDPPP, PCI DSS y SOC 2. Conoce TecnetSOC y solicita un diagnóstico gratuito de tu estado actual de cifrado y monitoreo de endpoints.
¿BitLocker es gratis? Sí. BitLocker viene incluido en las ediciones Pro, Enterprise y Education de Windows 10 y 11, y en Windows Server. No requiere licencia adicional. En Windows Home está disponible la versión simplificada llamada cifrado de dispositivo.
¿BitLocker hace más lenta la computadora? El impacto en rendimiento es mínimo en hardware moderno. Las CPUs Intel y AMD incluyen aceleración por hardware para AES (instrucciones AES-NI) desde hace más de una década, y XTS-AES está optimizado para SSD. En equipos con disco mecánico antiguo puede notarse una ligera reducción de velocidad en escrituras intensivas, pero en SSD la diferencia es prácticamente imperceptible.
Get-BitLockerVolume. En CMD ejecuta manage-bde -status. Cualquiera de los tres muestra el estado actual del cifrado por volumen, el método usado y el porcentaje completado.