Imagina que te roban el portátil en una cafetería. O que lo pierdes en el aeropuerto. O que simplemente un día tu ex —ese que siempre fue "un poco curioso"— decide echar un vistazo a tu disco duro externo. Sin encriptación de disco, toda tu vida digital queda expuesta como un buffet libre: fotos, contraseñas guardadas, declaraciones de la renta, ese documento Word titulado "ideas_millonarias_no_copiar.docx". Cifrar el disco duro con herramientas como BitLocker o VeraCrypt es la diferencia entre que un ladrón tenga acceso a todo o que se encuentre con un muro de datos ilegibles. Un disco cifrado convierte tu información en un galimatías criptográfico que ni la NSA descifraría sin la clave. Y no, no es solo para espías ni hackers con sudadera: es para ti, para mí, y para cualquiera que valore su privacidad más que un café con leche.
Qué es la encriptación de disco y por qué deberías activarla ya
La encriptación de disco es el proceso de convertir todos los datos de tu disco duro en información ilegible sin una clave de descifrado. Es como meter tu casa entera dentro de una caja fuerte: aunque alguien se lleve la caja, sin la combinación solo tiene un bloque de metal pesado e inútil.
Existen dos tipos principales:
- Cifrado de disco completo (FDE): encripta absolutamente todo el disco, incluyendo el sistema operativo, archivos temporales y el espacio libre. Es lo que hacen BitLocker y VeraCrypt.
- Cifrado a nivel de archivo: solo protege archivos o carpetas concretas. Útil, pero deja rastros en archivos temporales, swap y logs del sistema.
Según el Verizon Data Breach Investigations Report 2025, el 17% de las brechas de datos involucran dispositivos físicos robados o perdidos. De esos casos, más del 90% podrían haberse evitado con un simple disco cifrado. El RGPD europeo, además, considera la encriptación como una medida de seguridad "apropiada" bajo el artículo 32, lo que significa que si pierdes un portátil con datos personales de clientes y no estaba cifrado, prepárate para una multa que hará llorar a tu contable.
Los algoritmos utilizados son sólidos: AES-256 es el estándar de facto, el mismo que usan gobiernos y ejércitos. En términos prácticos, romper AES-256 por fuerza bruta requeriría más energía de la que produce el sol en toda su vida. Así que sí, funciona.
BitLocker: cifrar el disco duro en Windows sin despeinarte
BitLocker es la herramienta de cifrado integrada en Windows (ediciones Pro, Enterprise y Education). Si usas Windows Home, Microsoft te deja fuera del club, pero luego hablaremos de alternativas. Aquí van los pasos para cifrar tu disco duro con BitLocker:
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Privacidad en Windows: cómo desactivar la telemetría y el rastreo de Microsoft, donde profundizamos en aspectos clave relacionados.
- Verifica la compatibilidad: tu equipo necesita un chip TPM (Trusted Platform Module) versión 1.2 o superior. La mayoría de portátiles fabricados después de 2016 lo tienen. Compruébalo en
tpm.mscdesde el menú Inicio. - Activa BitLocker: ve a Panel de Control → Sistema y seguridad → Cifrado de unidad BitLocker, o simplemente busca "BitLocker" en el menú Inicio. Haz clic en "Activar BitLocker" junto a la unidad que quieras proteger.
- Elige el método de desbloqueo: contraseña, PIN, llave USB o desbloqueo automático con TPM. La opción más cómoda para el día a día es TPM + PIN al arrancar.
- Guarda la clave de recuperación: BitLocker genera una clave de 48 dígitos. Guárdala en tu cuenta Microsoft, en un USB, imprímela o almacénala en un gestor de contraseñas. No la pierdas. Sin ella, ni Microsoft puede recuperar tus datos.
- Selecciona el modo de cifrado: "Espacio en disco usado" es más rápido para discos nuevos; "Unidad completa" es más seguro para discos que ya contenían datos (cifra también el espacio libre donde podrían quedar restos de archivos borrados).
- Elige el modo de cifrado: XTS-AES 256 bits para discos internos, AES-CBC para discos extraíbles que usarás en otros equipos.
- Inicia el cifrado: dependiendo del tamaño del disco, puede tardar desde minutos hasta varias horas. Puedes seguir trabajando mientras tanto.
Ventajas de BitLocker: integrado en Windows, transparente para el usuario (una vez activado, ni te enteras), aprovecha el chip TPM para mayor seguridad, compatible con gestión empresarial mediante Active Directory y Group Policies.
Inconvenientes: solo disponible en Windows Pro/Enterprise (que casualmente cuesta más), es software propietario (no puedes auditar el código), y en 2024 el investigador Thomas Lambertz demostró en el Chaos Communication Congress (38C3) que BitLocker con TPM solo (sin PIN) es vulnerable a ataques de sniffing del bus LPC/SPI, permitiendo extraer la clave maestra del volumen. Moraleja: siempre configura un PIN de pre-arranque.
VeraCrypt: la alternativa libre para cifrar cualquier sistema operativo
VeraCrypt es el sucesor espiritual de TrueCrypt (que fue abandonado misteriosamente en 2014, alimentando conspiraciones dignas de un capítulo de Black Mirror). Es software libre, multiplataforma (Windows, macOS, Linux) y ha sido auditado por expertos en seguridad. Si no tienes Windows Pro o simplemente no te fías del software de Microsoft para proteger tus secretos, VeraCrypt es tu herramienta.
Para cifrar el disco duro completo con VeraCrypt en Windows:
- Descarga VeraCrypt desde veracrypt.fr (siempre desde la web oficial, nunca de mirrors aleatorios).
- Abre VeraCrypt y ve a System → Encrypt System Partition/Drive.
- Elige "Normal" (a menos que seas un disidente político, en cuyo caso la opción "Hidden" crea un sistema operativo oculto dentro de otro — paranoia nivel experto).
- Selecciona AES-256 como algoritmo y SHA-512 como hash. Si te sientes aventurero, puedes usar cifrado en cascada (AES-Twofish-Serpent), pero el rendimiento se resiente.
- Crea una contraseña robusta: mínimo 20 caracteres, mezclando mayúsculas, minúsculas, números y símbolos. VeraCrypt te lo pedirá en cada arranque, así que elige algo que puedas recordar sin post-its.
- Genera entropía: VeraCrypt te pedirá mover el ratón aleatoriamente durante 30 segundos. Es el momento más divertido de todo el proceso.
- Crea el disco de rescate: obligatorio. Es un ISO que necesitarás si el bootloader se corrompe.
- Ejecuta el pretest: VeraCrypt reiniciará el sistema para verificar que todo funciona antes de cifrar. Si el pretest falla, no pasa nada, vuelves al estado original.
- Si el pretest funciona, arranca el cifrado completo.
La gran ventaja de VeraCrypt sobre BitLocker: volúmenes ocultos. Puedes crear un volumen cifrado dentro de otro volumen cifrado, con contraseñas diferentes. Si alguien te obliga a revelar tu contraseña (sí, existen los ataques de "llave inglesa a la rodilla", o rubber hose cryptanalysis como dicen los académicos con su humor británico), le das la contraseña del volumen exterior, que contiene archivos inocuos. El volumen oculto con tus datos reales queda invisible e indetectable. Es encriptación de disco con denegación plausible.
VeraCrypt también permite crear contenedores cifrados: archivos que funcionan como discos virtuales. Ideal para cifrar solo ciertos datos sin tocar el sistema operativo completo. Perfecto para ese USB con los presupuestos de la empresa que llevas en el bolsillo.
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Cookies: qué son realmente, cuáles aceptar y cuáles rechazar siempre, donde profundizamos en aspectos clave relacionados.
BitLocker vs VeraCrypt: comparativa para elegir tu escudo
| Característica | BitLocker | VeraCrypt |
|---|---|---|
| Precio | Incluido en Windows Pro/Enterprise | Gratuito y open source |
| Sistemas operativos | Solo Windows | Windows, macOS, Linux |
| Código auditable | No (propietario) | Sí (auditorías públicas) |
| Volúmenes ocultos | No | Sí |
| Facilidad de uso | Muy fácil | Moderada |
| Soporte TPM | Sí (nativo) | No (usa contraseña pre-boot) |
| Gestión empresarial | Sí (AD, GPO, Intune) | Limitada |
| Rendimiento | Excelente (aceleración hardware) | Bueno (algo inferior en cascada) |
| Algoritmos disponibles | AES-128/256 | AES, Twofish, Serpent, Camellia y cascadas |
Recomendación de MataSpam: si usas Windows Pro en un entorno corporativo y necesitas gestión centralizada, BitLocker con PIN de pre-arranque es la opción práctica. Si quieres máxima seguridad, transparencia del código, compatibilidad multiplataforma o volúmenes ocultos, VeraCrypt gana. Y si usas Linux, probablemente ya conoces LUKS, que viene integrado en el instalador de la mayoría de distribuciones. No hay excusa para no tener un disco cifrado.
Errores comunes al cifrar el disco duro (y cómo evitarlos)
Después de ayudar a más gente con problemas de seguridad que un antivirus en Black Friday, aquí van los errores más frecuentes que vemos al cifrar el disco duro:
- No guardar la clave de recuperación: el error número uno. La gente cifra el disco, pierde la contraseña, y llora. Guarda la clave en al menos dos sitios diferentes: gestor de contraseñas + copia física en lugar seguro.
- Usar BitLocker sin PIN: como hemos comentado, solo con TPM es vulnerable a ataques físicos. Configura siempre un PIN de pre-arranque en gpedit.msc → Configuración del equipo → Plantillas administrativas → Componentes de Windows → Cifrado de unidad BitLocker.
- Contraseñas débiles: "1234" o "password" como contraseña de VeraCrypt es como poner una puerta blindada y dejar la llave bajo el felpudo. Usa un passphrase largo: "MiGatoComeSardinas3nLaTerraza!" es infinitamente mejor que "Gat0$2026".
- No cifrar el espacio libre: si activas la encriptación de disco solo sobre el espacio usado en un disco que ya contenía datos, los archivos borrados anteriormente pueden ser recuperables con herramientas forenses como Autopsy o FTK Imager.
- Olvidar los backups: cifrado no es backup. Si tu disco cifrado falla físicamente, los datos se pierden igual. Haz copias de seguridad regulares (también cifradas, por favor).
- No cifrar discos externos y USBs: cifras el disco principal y luego copias documentos sensibles a un USB sin proteger. BitLocker To Go o VeraCrypt en modo contenedor solucionan esto.
Preguntas frecuentes
¿Cifrar el disco duro ralentiza el ordenador?
En la práctica, el impacto es mínimo. Los procesadores modernos incluyen instrucciones AES-NI que aceleran el cifrado por hardware. Con BitLocker y un SSD, la pérdida de rendimiento es del 1-3%, imperceptible en uso diario. Con VeraCrypt usando AES simple, el rendimiento es similar. Solo notarás algo si usas cifrado en cascada (AES-Twofish-Serpent) en un disco mecánico antiguo, pero en ese caso tu problema no es el cifrado, sino que sigues usando un HDD en 2026.
¿Qué pasa si olvido la contraseña de mi disco cifrado?
Con BitLocker, puedes usar la clave de recuperación de 48 dígitos (si la guardaste en tu cuenta Microsoft, en un USB o impresa). Sin ella, tus datos son irrecuperables. Con VeraCrypt, no hay puerta trasera: sin la contraseña y sin el disco de rescate, los datos están perdidos para siempre. Es la naturaleza del cifrado fuerte: protege contra todos, incluyéndote a ti si pierdes la clave. Por eso insistimos tanto en guardar las claves de recuperación.
¿Es legal cifrar mi disco duro en España?
Absolutamente sí. En España y en toda la Unión Europea, la encriptación es legal y de hecho es recomendada por el RGPD como medida de protección de datos. No hay ninguna obligación legal de proporcionar claves de descifrado en investigaciones civiles. En procedimientos penales, el debate jurídico existe, pero actualmente no hay legislación española que obligue a un acusado a revelar contraseñas, amparado por el derecho a no declarar contra uno mismo (artículo 24.2 de la Constitución).
¿Puedo cifrar un disco duro externo o USB?
Sí. Con BitLocker To Go puedes cifrar unidades USB y discos externos directamente desde Windows (clic derecho sobre la unidad → Activar BitLocker). Con VeraCrypt, puedes cifrar la unidad completa o crear un contenedor cifrado dentro del USB. La segunda opción es más flexible porque el contenedor es un archivo portable que puedes montar en cualquier sistema con VeraCrypt instalado.
¿BitLocker o VeraCrypt para una empresa pequeña?
Si todos los equipos usan Windows Pro y necesitas gestión centralizada (despliegue masivo, recuperación de claves por IT, políticas de grupo), BitLocker con Active Directory es más práctico. Si tienes un entorno mixto (Windows, Mac, Linux) o prefieres no depender de Microsoft, VeraCrypt funciona en todos los sistemas. Para autónomos y microempresas sin departamento IT, BitLocker es más sencillo de mantener. Lo importante es que elijas uno y lo actives: un disco cifrado mal gestionado sigue siendo mejor que un disco sin cifrar.
La encriptación de disco no es un lujo ni una paranoia: es higiene digital básica. Igual que cierras la puerta de casa con llave, cifrar el disco duro debería ser el primer paso al configurar cualquier ordenador. Ya sea con BitLocker, VeraCrypt o LUKS en Linux, las herramientas están ahí, son gratuitas (o incluidas en tu sistema), y el proceso lleva menos tiempo que ver un capítulo de tu serie favorita. Así que deja de procrastinar y cifra ese disco. Tu yo del futuro te lo agradecerá cuando pierdas el portátil en el tren. Explora más artículos en nuestro blog para seguir blindando tu vida digital — porque en MataSpam creemos que la mejor defensa es no dar ni una oportunidad al atacante.
