Introducción al Cifrado de unidad BitLocker

BitLocker puede usar el TPM para comprobar la integridad de los componentes de arranque iniciales y los datos de la configuración de arranque. Esto ayuda a garantizar que BitLocker permite el acceso a la unidad de cifrado solo si estos componentes no han sido alterados y si la unidad de cifrado se encuentra en el equipo original.

BitLocker ayuda a garantizar la integridad del proceso de inicio a través de las acciones siguientes:

• Proporciona un método para comprobar que se haya mantenido la integridad del archivo de arranque inicial y para ayudar a garantizar que no haya habido ninguna modificación malintencionada de estos archivos (por ejemplo, modificaciones con virus o rootkits del sector de arranque).
  
  
• Mejora la protección para mitigar los ataques basados en software sin conexión. Cualquier software alternativo que pueda iniciar el sistema no tiene acceso a las claves de descifrado de la unidad del sistema operativo Windows.
  
  
• Bloquea el sistema cuando ha sido alterado. Si cualquiera de los archivos supervisados ha sido alterado, el sistema no se inicia. Esto indica al usuario que ha habido alteraciones, ya que el sistema no se puede iniciar del modo habitual. Si el sistema llega a bloquearse, BitLocker ofrece un sencillo proceso de recuperación.
  
  

Para usar BitLocker, un equipo debe cumplir ciertos requisitos:

• Para que BitLocker pueda usar la comprobación de integridad del sistema que ofrece un TPM, el equipo debe tener la versión 1.2 de TPM. Si el equipo no tiene ningún TPM, para habilitar BitLocker será necesario que guarde una clave de inicio en un dispositivo extraíble, como una unidad flash USB.
  
  
• Un equipo con un TPM también debe tener un BIOS compatible con TCG (Trusted Computing Group). El BIOS establece una cadena de confianza para el inicio anterior al sistema operativo y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por el TCG. Un equipo sin un TPM no necesita un BIOS compatible con TCG.
  
  
• El BIOS del sistema (para equipos con y sin TPM) debe admitir la clase de dispositivo de almacenamiento USB, incluida la lectura de archivos pequeños en una unidad flash USB en el entorno anterior al sistema operativo. Para obtener más información acerca de USB, vea la sección de almacenamiento USB solo en masa y las especificaciones de comando UFI de almacenamiento en la página web de USB (https://go.microsoft.com/fwlink/?LinkId=83120 (puede estar en inglés)).
  
  
• El disco duro debe estar particionado con al menos dos unidades:
  
  
  • La unidad del sistema operativo (o unidad de arranque) contiene el sistema operativo y los archivos de compatibilidad; debe tener el formato del sistema de archivos NTFS.
    
    
  • La unidad del sistema contiene los archivos necesarios para cargar Windows después de que el BIOS haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que BitLocker funcione, la unidad del sistema no puede estar cifrada, debe ser distinta de la unidad del sistema operativo y debe tener el formato del sistema de archivos NTFS. La unidad del sistema debe tener al menos 1,5 gigabytes (GB).
    
    

BitLocker se instala automáticamente como parte de la instalación del sistema operativo. Sin embargo, BitLocker no se habilita hasta que se usa el asistente para la instalación de BitLocker para activarlo. Puede obtener acceso al asistente desde el Panel de control o haciendo clic con el botón secundario en la unidad en el Explorador de Windows.

Tras la instalación y configuración iniciales del sistema operativo, el administrador del sistema puede usar en cualquier momento el asistente para inicializar BitLocker. El proceso de inicialización consta de dos pasos:

1. En los equipos que tienen un TPM, inicialice el TPM mediante el Asistente para inicializar TPM, el elemento Cifrado de unidad BitLocker del Panel de control o la ejecución de un script diseñado para inicializarlo.
   
   
2. Configure BitLocker. Obtenga acceso al asistente para la instalación de BitLocker desde el Panel de control, que le guiará durante la instalación y le mostrará opciones de autenticación avanzadas.
   
   

Cuando un administrador local inicializa BitLocker, el administrador también debe crear una contraseña de recuperación o una clave de recuperación. Sin una clave de recuperación o una contraseña de recuperación, es posible que no se pueda obtener acceso ni se puedan recuperar todos los datos de la unidad cifrada si se produce un problema con la unidad protegida por BitLocker.

	Nota
	La inicialización de BitLocker y TPM debe llevarla a cabo un miembro del grupo local Administradores del equipo.

Para obtener información detallada acerca de la configuración e implementación de BitLocker, vea la guía paso a paso del Cifrado de unidad de BitLocker de Windows en https://go.microsoft.com/fwlink/?LinkID=140225 (puede estar en inglés).

BitLocker puede usar la infraestructura de Servicios de dominio de Active Directory de una empresa para almacenar claves de recuperación de forma remota. BitLocker ofrece un asistente para la instalación y la administración, así como extensibilidad y capacidad de administración a través de una interfaz de Instrumental de administración de Windows (WMI) con compatibilidad con scripting. BitLocker también tiene una consola de recuperación que se integra en el proceso de arranque inicial para permitir al usuario o al personal del departamento de soporte técnico recuperar el acceso a un equipo bloqueado.

Para obtener más información acerca de la escritura de scripts para BitLocker, vea Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983 (puede estar en inglés)).

Hoy en día, muchos equipos son reutilizados por personas que no son el propietario o usuario inicial del equipo. En escenarios empresariales, los equipos se pueden volver a implementar en otros departamentos o bien reciclarse como parte de un procedimiento estándar de renovación del hardware.

En el caso de las unidades sin cifrar, es posible que los datos puedan leerse incluso después de formatearlas. Las empresas recurren a menudo a sobrescrituras múltiples o a la destrucción física para reducir el riesgo de exposición de los datos de unidades retiradas.

BitLocker puede ayudar a crear un proceso de retirada simple y rentable. Las empresas pueden reducir permanentemente el riesgo de dejar su información expuesta si dejan los datos cifrados por BitLocker y quitan luego las claves. Es prácticamente imposible obtener acceso a los datos cifrados por BitLocker después de quitar todas las claves de BitLocker porque esto supondría descifrar un cifrado AES de 128 o 256 bits.

BitLocker no puede proteger un equipo frente a todos los ataques posibles. Por ejemplo, si un usuario malintencionado o programas como virus o rootkits obtienen acceso al equipo antes de que se pierda o se sustraiga, es posible que logren introducir puntos débiles mediante los que podrían tener acceso a los datos cifrados más adelante. La protección de BitLocker puede verse comprometida si la clave de inicio USB se deja en el equipo o si el PIN o la contraseña de inicio de sesión de Windows no se mantienen en secreto.

El modo de autenticación solo con TPM es el más fácil de implementar, administrar y usar. Asimismo, es posible que sea más adecuado para equipos desatendidos o que deben reiniciarse mientras están desatendidos. Sin embargo, el modo con solo TPM ofrece la menor protección de datos. Si hay partes en su organización que almacenan información confidencial en equipos portátiles, considere la posibilidad de implementar BitLocker con autenticación multifactor en estos equipos.

Para obtener más información acerca de las consideraciones sobre seguridad de BitLocker, vea la página acerca del kit de herramientas de cifrado de datos para equipos portátiles (https://go.microsoft.com/fwlink/?LinkId=85982 (puede estar en inglés)).

Para los servidores que están en un entorno compartido o potencialmente no seguro, como una sucursal, BitLocker se puede usar para cifrar la unidad del sistema operativo y unidades de datos adicionales que se encuentren en el mismo servidor.

De manera predeterminada, BitLocker no se instala con Windows Server 2008 R2. Puede agregar BitLocker en la página Administrador del servidor de Windows Server 2008 R2. Debe reiniciar tras instalar BitLocker en un servidor. Mediante WMI, es posible habilitar BitLocker de forma remota.

BitLocker es compatible con servidores EFI (Extensible Firmware Interface) que usen una arquitectura de procesador de 64 bits.

	Nota
	BitLocker no admite las configuraciones de clúster.

Una vez que la unidad se ha cifrado y protegido con BitLocker, los administradores locales y de dominio pueden usar la página Administrar BitLocker, incluida en el elemento Cifrado de unidad BitLocker del Panel de control, y cambiar la contraseña para desbloquear la unidad, quitar la contraseña de la unidad, agregar una tarjeta inteligente para desbloquear la unidad, volver a guardar o a imprimir la clave de recuperación, desbloquear la unidad automáticamente y restablecer el PIN.

	Nota
	El tipo de claves que se pueden usar en un equipo puede controlarse mediante la directiva de grupo. Para obtener más información acerca de cómo usar la directiva de grupo con BitLocker, vea la guía de implementación de BitLocker en https://go.microsoft.com/fwlink/?LinkID=140286 (puede estar en inglés).

Es posible que un administrador desee deshabilitar BitLocker temporalmente en determinadas situaciones, como al:

• Reiniciar el equipo por motivos de mantenimiento sin requerir ninguna acción por parte del usuario (por ejemplo, escribir un PIN o insertar una clave de inicio).
  
  
• Actualizar el BIOS.
  
  
• Instalar un componente de hardware que tiene memoria de solo lectura opcional (ROM opcional).
  
  
• Actualizar componentes de arranque iniciales básicos sin desencadenar la recuperación de BitLocker. Por ejemplo:
  
  
  • Instalar una versión distinta del sistema operativo u otro sistema operativo, lo que podría cambiar el registro de arranque maestro (MBR).
    
    
  • Volver a particionar el disco, lo que podría cambiar la tabla de particiones.
    
    
  • Realizar otras tareas del sistema que cambian los componentes de arranque validados por el TPM.
    
    
• Actualizar la placa base para reemplazar o quitar el TPM sin desencadenar la recuperación de BitLocker.
  
  
• Desactivar (deshabilitar) o quitar el TPM sin desencadenar la recuperación de BitLocker.
  
  
• Trasladar una unidad de disco protegida por BitLocker a otro equipo sin desencadenar la recuperación de BitLocker.
  
  

Se hace referencia de forma conjunta a estos escenarios como escenario de actualización de equipos. BitLocker se puede habilitar o deshabilitar mediante el elemento Cifrado de unidad BitLocker del Panel de control.

Para actualizar un equipo protegido por BitLocker, es necesario realizar los siguientes pasos:

1. Desactive BitLocker temporalmente pasándolo al modo deshabilitado.
   
   
2. Actualice el sistema o el BIOS.
   
   
3. Vuelva a activar BitLocker.
   
   

Si se fuerza BitLocker al modo deshabilitado, la unidad se mantendrá cifrada, pero la clave maestra de la unidad se cifrará con una clave simétrica que se almacena sin cifrar en el disco duro. La disponibilidad de esta clave sin cifrar deshabilita la protección de datos que ofrece BitLocker, pero garantiza que el equipo se iniciará correctamente a partir de entonces sin más intervenciones del usuario. Cuando se vuelve a habilitar BitLocker, la clave sin cifrar se quita del disco y la protección de BitLocker se vuelve a activar. Asimismo, la clave maestra de la unidad se regenera y se cifra de nuevo.

El traslado de la unidad de cifrado (es decir, el disco físico) a otro equipo con BitLocker habilitado no requiere ningún paso adicional porque la clave que protege la clave maestra de la unidad se almacena sin cifrar en el disco.

	Precaución
	Dejar expuesta la clave maestra de la unidad, aunque sea por un breve período, supone un riesgo de seguridad, ya que es posible que un atacante haya obtenido acceso a la clave maestra de la unidad y a la clave de cifrado de la unidad completa cuando la clave sin cifrar dejó expuestas estas claves.

Para obtener información detallada acerca de cómo deshabilitar BitLocker, vea la guía paso a paso del Cifrado de unidad BitLocker de Windows en https://go.microsoft.com/fwlink/?LinkID=140225 (puede estar en inglés).

Existen diversos escenarios que pueden desencadenar un proceso de recuperación, por ejemplo:

• Traslado de la unidad protegida con BitLocker a un equipo nuevo.
  
  
• Instalación de una nueva placa base con un nuevo TPM.
  
  
• Desactivación, deshabilitación o retirada del TPM.
  
  
• Actualización del BIOS.
  
  
• Actualización de la ROM opcional.
  
  
• Actualización de componentes de arranque iniciales básicos que provoca errores en la comprobación de integridad del sistema.
  
  
• Olvido del PIN cuando la autenticación con PIN está habilitada.
  
  
• Pérdida de la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está habilitada.
  
  

Un administrador también puede desencadenar la recuperación como mecanismo de control de acceso (por ejemplo, mientras se vuelve a implementar un equipo). Un administrador puede decidir bloquear una unidad cifrada y requerir que los usuarios obtengan información de recuperación de BitLocker para desbloquear la unidad.