Login Probar gratis
Cómo cifrar archivos y carpetas en Windows, Mac y Linux

Cómo cifrar archivos y carpetas en Windows, Mac y Linux

por MataSpam Guías de Seguridad

Cifrar archivos en tu ordenador es la forma más directa de proteger tu información si alguien accede físicamente a tu disco duro, te roban el portátil o un ransomware intenta secuestrar tus datos. Da igual si usas Windows, Mac o Linux: los tres sistemas operativos incluyen herramientas nativas para encriptar carpetas y archivos sin instalar nada extra. Y si necesitas algo más robusto, hay software libre que te cubre las espaldas. Esta guía te lleva paso a paso por las opciones de cifrado local en cada plataforma, con sus ventajas, sus limitaciones y los errores que debes evitar. Porque proteger archivos con contraseña no sirve de nada si luego dejas la llave pegada al monitor con un post-it.

Cifrado de archivos en Windows: BitLocker, EFS y alternativas

Windows ofrece dos mecanismos nativos para cifrar archivos en Windows: BitLocker y EFS (Encrypting File System). BitLocker cifra volúmenes enteros —el disco completo o una partición— usando AES-128 o AES-256. Viene incluido en las ediciones Pro, Enterprise y Education de Windows 10 y 11. Si tienes la edición Home, no lo encontrarás (Microsoft quiere que pagues la diferencia, claro).

EFS funciona a nivel de archivo o carpeta individual. Haces clic derecho sobre la carpeta, Propiedades → Avanzado → Cifrar contenido para proteger datos, y listo. El cifrado va ligado a tu cuenta de usuario de Windows. Si alguien arranca el equipo con otro sistema operativo o extrae el disco, no podrá leer esos archivos. Pero si inicia sesión con tu cuenta, los verá sin problema. EFS tampoco está disponible en Windows Home.

Pasos para activar BitLocker en una unidad:

  1. Abre el Panel de control → Sistema y seguridad → Cifrado de unidad BitLocker.
  2. Selecciona la unidad que quieres cifrar y pulsa Activar BitLocker.
  3. Elige cómo desbloquear la unidad: contraseña, tarjeta inteligente o TPM (Trusted Platform Module).
  4. Guarda la clave de recuperación. Microsoft te ofrece guardarla en tu cuenta Microsoft, en un archivo o imprimirla. Guárdala en un lugar seguro fuera del propio disco cifrado.
  5. Selecciona si cifrar solo el espacio usado o toda la unidad. Si el disco es nuevo, el espacio usado basta. Si ya tiene datos, cifra la unidad entera.
  6. Elige el modo de cifrado: Nuevo modo (XTS-AES, mejor para discos fijos) o Modo compatible (para USBs que usarás en versiones antiguas de Windows).

Si tu equipo no tiene chip TPM, puedes forzar BitLocker sin él editando la directiva de grupo local (gpedit.msc), pero necesitarás introducir una contraseña o un USB de arranque cada vez que enciendas. Merece la pena si manejas información sensible. Y ya que estás reforzando tu equipo, revisa también cómo configurar el firewall de Windows para tener una protección más completa.

Para quienes tienen Windows Home o quieren algo multiplataforma, VeraCrypt es la alternativa de referencia. Es software libre, heredero del legendario TrueCrypt, y permite crear contenedores cifrados (archivos que actúan como discos virtuales) o cifrar particiones enteras. Soporta AES, Serpent, Twofish y combinaciones en cascada.

Encriptar carpetas en macOS: FileVault y Disk Utility

Apple incluye FileVault en macOS desde la versión 10.3, aunque la versión actual (FileVault 2) apareció con Lion en 2011. FileVault cifra todo el disco de arranque con XTS-AES-128. En los Mac con chip Apple Silicon (M1 en adelante), el cifrado por hardware está activo por defecto; FileVault añade la capa de protección con contraseña al arranque.

Activar FileVault:

  1. Ve a Ajustes del Sistema → Privacidad y seguridad → FileVault.
  2. Pulsa Activar.
  3. Decide si quieres poder desbloquear el disco con tu cuenta de iCloud o con una clave de recuperación local. La clave local es más segura si no confías en que Apple no reciba una orden judicial para desbloquear tu cuenta.
  4. El cifrado empieza en segundo plano. Puedes seguir trabajando mientras tanto.

Para proteger archivos con contraseña de forma individual o por carpetas, macOS ofrece la Utilidad de Discos (Disk Utility). Puedes crear una imagen de disco cifrada (.dmg) con AES-128 o AES-256:

  1. Abre Utilidad de Discos.
  2. Archivo → Nueva imagen → Imagen de carpeta… y selecciona la carpeta a cifrar.
  3. En Cifrado, elige AES-256.
  4. Establece una contraseña robusta.
  5. Guarda el .dmg. La carpeta original puedes eliminarla de forma segura.

El .dmg se monta como un disco virtual cuando introduces la contraseña. Es un método limpio, nativo y sin dependencias externas. Para archivos sueltos, también puedes usar el comando openssl desde Terminal, aunque no es la opción más cómoda para uso diario.

Cifrado en Linux: LUKS, GPG y encfs

Linux es donde el cifrado local tiene más tradición y más opciones. La mayoría de distribuciones ofrecen cifrar el disco completo durante la instalación usando LUKS (Linux Unified Key Setup) sobre dm-crypt. LUKS es el estándar de facto para cifrado de disco en Linux y soporta múltiples claves de desbloqueo por dispositivo.

Cifrar una partición con LUKS desde terminal:

  1. sudo cryptsetup luksFormat /dev/sdX — Inicializa el cifrado en la partición (esto borra los datos existentes).
  2. sudo cryptsetup luksOpen /dev/sdX mi_disco — Abre el dispositivo cifrado.
  3. sudo mkfs.ext4 /dev/mapper/mi_disco — Crea el sistema de archivos.
  4. Monta y usa normalmente. Al reiniciar, necesitarás la contraseña para acceder.

Para encriptar carpetas o archivos individuales sin tocar particiones, GPG (GNU Privacy Guard) es la herramienta clásica. Un simple gpg -c archivo.pdf te pide una contraseña y genera un archivo .gpg cifrado con AES-256 por defecto. Para descifrar: gpg archivo.pdf.gpg. Limpio, rápido y funciona en cualquier distro.

Otra opción interesante es gocryptfs (sucesor espiritual de encfs, que tuvo vulnerabilidades reportadas en una auditoría de 2014). gocryptfs crea una capa de cifrado transparente sobre una carpeta: todo lo que guardas ahí se cifra automáticamente, y se descifra al vuelo cuando montas el directorio. Ideal para sincronizar carpetas cifradas con servicios en la nube sin que el proveedor pueda leer tu contenido.

Herramientas multiplataforma para cifrar archivos

Si trabajas con varios sistemas operativos o necesitas compartir archivos cifrados entre equipos, estas herramientas funcionan en Windows, Mac y Linux:

HerramientaTipoAlgoritmoLicenciaIdeal para
VeraCryptContenedores / particionesAES, Serpent, TwofishLibre (Apache 2.0 + TrueCrypt)Cifrar discos USB, particiones, volúmenes ocultos
7-ZipArchivos comprimidosAES-256Libre (LGPL)Enviar archivos cifrados por email
CryptomatorCarpetas cloudAES-256 + HMAC-SHA256Libre (GPLv3)Cifrar antes de subir a Dropbox, Google Drive, etc.
ageArchivos individualesChaCha20-Poly1305Libre (BSD)Sustituto moderno de GPG para cifrado simétrico

VeraCrypt destaca por su capacidad de crear volúmenes ocultos: un contenedor dentro de otro contenedor, cada uno con su propia contraseña. Si alguien te fuerza a revelar la clave, le das la del volumen exterior (con archivos inocuos) y el volumen oculto permanece indetectable. Es una función pensada para contextos de coacción —periodistas, activistas, disidentes— y técnicamente sólida.

Cryptomator merece mención especial si usas almacenamiento en la nube. Crea un vault en tu carpeta de sincronización (Dropbox, OneDrive, Google Drive) y cifra cada archivo individualmente antes de subirlo. El proveedor cloud solo ve archivos con nombres aleatorios. Combinado con cifrado de disco local, tienes tus datos protegidos tanto en reposo como en tránsito hacia la nube.

Errores comunes al cifrar (y cómo evitarlos)

Cifrar archivos sin entender cómo funciona el sistema puede darte una falsa sensación de seguridad. Estos son los fallos más frecuentes:

  • No guardar la clave de recuperación. Si pierdes la contraseña de un volumen cifrado con BitLocker, LUKS o VeraCrypt, tus datos son irrecuperables. No hay puerta trasera. No hay "he olvidado mi contraseña". Guarda las claves de recuperación en un lugar físico seguro o en un gestor de contraseñas que ya esté protegido.
  • Cifrar el archivo pero dejar la copia original. Si cifras un documento con GPG o 7-Zip y no borras el original (o lo borras enviándolo a la papelera sin vaciarla), el cifrado no sirve de nada. Usa herramientas de borrado seguro o, al menos, vacía la papelera.
  • Usar contraseñas débiles. AES-256 es teóricamente irrompible por fuerza bruta, pero si tu contraseña es "123456" o "password", un atacante no necesita romper AES. Usa frases de contraseña largas: "Mi-gato-come-atún-a-las-3AM" es más segura y más fácil de recordar que "Xk9$mP2!".
  • Confundir cifrado con protección contra ransomware. El cifrado protege tus datos de accesos no autorizados, pero un ransomware que se ejecuta con tus permisos de usuario puede cifrar encima de tu cifrado. Si quieres entender cómo opera un ataque de ransomware real, te recomiendo ese artículo.
  • No cifrar las copias de seguridad. Cifras tu disco principal pero tus backups en un USB o en la nube van en texto plano. Es como blindar la puerta de casa y dejar la ventana abierta.

Preguntas frecuentes

¿Puedo cifrar archivos en Windows Home sin software extra?

No de forma completa. Windows Home no incluye BitLocker ni EFS. La alternativa más fiable es VeraCrypt, que es gratuito y de código abierto. También puedes usar 7-Zip para crear archivos comprimidos con cifrado AES-256, aunque no ofrece cifrado transparente de carpetas.

¿El cifrado ralentiza mi ordenador?

Con hardware moderno, el impacto es mínimo. Los procesadores Intel (desde Westmere, 2010) y AMD (desde Bulldozer, 2011) incluyen instrucciones AES-NI que aceleran el cifrado por hardware. En la práctica, la diferencia de rendimiento con BitLocker o FileVault activado es inferior al 5% en la mayoría de operaciones de disco. En SSDs NVMe apenas se nota.

¿Qué algoritmo de cifrado debo elegir?

Para uso general, AES-256 es el estándar recomendado por el NIST y usado por gobiernos y ejércitos. Si buscas alternativas, Serpent es más conservador en su diseño (más rondas de cifrado) y ChaCha20 rinde mejor en dispositivos sin aceleración AES por hardware. Salvo que tengas necesidades muy específicas, AES-256 es la elección correcta.

¿Cifrar archivos me protege si me roban el portátil?

Sí, siempre que el equipo estuviera apagado o en hibernación (no en suspensión) cuando lo robaron. En estado de suspensión, la clave de cifrado puede permanecer en la RAM y un atacante con conocimientos avanzados podría extraerla mediante un cold boot attack. Con el equipo apagado y cifrado de disco completo activado, tus datos están a salvo.

El siguiente paso

Abre ahora mismo los ajustes de tu sistema operativo y activa el cifrado de disco completo: BitLocker en Windows Pro, FileVault en Mac o LUKS en Linux. Si usas Windows Home, descarga VeraCrypt y crea un contenedor cifrado para tus documentos sensibles. Tarda menos de diez minutos y es la medida de protección de archivos con mayor impacto que puedes tomar hoy. Guarda la clave de recuperación en un lugar seguro —no en el propio disco— y prueba que puedes desbloquear el volumen antes de confiar en él. Después, si quieres seguir blindando tu vida digital, pásate por el resto de guías del blog.

cifrar archivos encriptar carpetas cifrado archivos windows proteger archivos contraseña cifrado local
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Formación en ciberseguridad para empleados: programa básico que realmente funciona
Guías de Seguridad

Formación en ciberseguridad para empleados: programa básico que realmente funciona

Por qué actualizar el software es tu mejor defensa y cómo automatizarlo
Guías de Seguridad

Por qué actualizar el software es tu mejor defensa y cómo automatizarlo

Seguridad en el teletrabajo: checklist para trabajar desde casa sin riesgos
Guías de Seguridad

Seguridad en el teletrabajo: checklist para trabajar desde casa sin riesgos

← Volver al blog