¿Te aparecen dos claves de recuperación de BitLocker en tu cuenta de Microsoft aunque solo tienes un SSD interno y vas a hacer una instalación limpia? Aquí entenderás por qué ocurre, cómo identificar cada clave y qué hacer antes y después de reinstalar.
Contexto: por qué puedes ver dos claves de BitLocker en tu cuenta
BitLocker gestiona la seguridad a nivel de volumen (cada partición o unidad con letra), no a nivel del disco físico completo. Por eso, una misma máquina puede tener varias claves de recuperación asociadas a:
- La unidad del sistema (normalmente
C:). - Otras particiones con letra (
D:,E:…), internas o externas. - Unidades extraíbles cifradas con BitLocker To Go (pendrives, SSDs portátiles como Samsung T7).
Además, Windows puede generar y subir nuevas claves a tu cuenta de Microsoft en estas situaciones típicas:
- Activas BitLocker por primera vez en un volumen.
- Reinstalas Windows (instalación limpia o “Restablecer este PC”) y vuelves a cifrar.
- Modificas protectores (por ejemplo, agregas una nueva “Contraseña numérica de recuperación” o rotas la existente).
- Se detectan cambios de hardware/firmware relevantes para el TPM (cambios en BIOS/UEFI, TPM claro/borrado, arranque seguro, etc.).
Cuando aparece una nueva clave, las anteriores no se borran automáticamente de tu cuenta de Microsoft. Por eso es frecuente ver dos (o más) entradas históricas aunque ya no estén en uso.
¿Y si una clave corresponde al SSD externo Samsung T7?
Sí, es posible si ese T7 estuvo cifrado con BitLocker To Go. Cada unidad externa cifrada genera su propia clave de recuperación y puede quedar guardada en tu cuenta.
Importante distinguir:
- BitLocker To Go: cifrado de Microsoft. Sí genera una clave de recuperación de 48 dígitos y puede subirse a tu cuenta.
- Protección por contraseña propia del T7 (software de Samsung): usa cifrado por hardware del propio disco y no genera claves de BitLocker ni se registra en tu cuenta de Microsoft.
La Herramienta de Creación de Medios (Media Creation Tool) de Windows no activa BitLocker por sí sola. Si preparaste el T7 como instalador y nunca lo cifraste con BitLocker, esa herramienta no explicaría por sí sola la segunda clave. Pero si el T7 estuvo cifrado anteriormente con BitLocker To Go, entonces sí podría ser el origen de esa clave adicional.
Cómo saber a qué unidad pertenece cada clave: método infalible
La forma más precisa de identificar una clave es comparar el “Key ID” (Identificador del protector) que BitLocker ve en el volumen con el “Key ID” que aparece en tu cuenta de Microsoft.
Paso a paso con Símbolo del sistema (Administrador)
- Conecta cualquier unidad que sospeches que pudiera estar cifrada (ej. el Samsung T7).
- Abre Símbolo del sistema como administrador.
- Consulta el estado general:
manage-bde -statusVerás cada volumen con su estado (Fully Decrypted, Percentage Encrypted, etc.). - Para cada volumen cifrado con letra de unidad (sustituye
X:):manage-bde -protectors -get X:Anota dos datos:- Key ID de la “Contraseña numérica” (Recovery Password). Es un GUID con el formato
{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}. - Contraseña numérica (los 48 dígitos, separados en bloques de 6). No la publiques ni la compartas.
- Key ID de la “Contraseña numérica” (Recovery Password). Es un GUID con el formato
- En tu cuenta de Microsoft, en la sección de claves de recuperación, localiza el Key ID de cada entrada y compáralo con los que acabas de recoger. El emparejamiento por Key ID te dice a qué volumen pertenece cada clave.
Ejemplo de salida real
C:> manage-bde -protectors -get E:
BitLocker Drive Encryption: Configuration Tool version 10.0.xxxxx
Volume E: \[T7]
All Key Protectors
Numerical Password:
ID: {A1B2C3D4-E5F6-4711-8910-112233445566}
Password:
123456-123456-123456-123456-123456-123456-123456-12
External Key:
ID: {F1E2D3C4-B5A6-4711-9910-667788990011} Ese ID entre llaves es el que debe coincidir con el “Key ID” que ves en tu cuenta.
Si BitLocker está desactivado en todas las unidades (tu caso actual)
Si manage-bde -status te muestra todos los volúmenes como Fully Decrypted o BitLocker is Off, las claves que aparecen en tu cuenta son históricas y no tienen uso práctico en el estado actual del equipo. En tal caso, puedes:
- Dejarlas como registro histórico, sin impacto alguno.
- Eliminarlas desde tu cuenta para mantener orden. Antes de borrar, verifica dos veces que ninguna unidad que vayas a seguir usando esté cifrada.
¿Por qué no ves la opción “Copiar la clave de recuperación”? Porque esa opción solo aparece cuando un volumen está cifrado y, por tanto, existe una clave vigente que respaldar. Si BitLocker está apagado, es normal que esa opción no esté visible.
Preparar una instalación limpia sin sorpresas
Una instalación limpia que elimina particiones y crea nuevas deja obsoletos los metadatos de BitLocker del estado anterior. Las claves antiguas ya no servirán para el nuevo sistema. Recomendaciones:
- Respalda tus datos antes de empezar (no guardes la única copia en una unidad cifrada cuya clave no tengas a mano).
- Verifica el estado de cifrado de todas las unidades con
manage-bde -status. - Si alguna unidad sigue cifrada y deseas mantenerla, exporta su clave (archivo/impresión) y consérvala fuera del equipo.
- Tras reinstalar, cuando actives BitLocker o “Cifrado de dispositivo”, se generará una clave nueva. Guarda esa nueva clave en varias ubicaciones seguras.
¿Qué ocurre con las claves antiguas después de reinstalar?
Quedan como entradas pasadas, sin relación con las nuevas particiones y el nuevo estado del equipo. Puedes mantenerlas como histórico o eliminarlas para evitar confusiones futuras. Si prefieres una higiene estricta, elimina las que ya no aplican (una vez confirmado que ninguna unidad actual depende de ellas).
Guía rápida: del diagnóstico a la limpieza
- Comprueba todo:
manage-bde -status - Conecta el Samsung T7 (u otros externos) y repite el estado:
manage-bde -status X: - Si hay cifrado, extrae Key ID y clave:
manage-bde -protectors -get X: - Empareja Key ID locales con los que ves en tu cuenta. Así sabrás qué clave es de qué unidad.
- Decide: si todo está descifrado, borra entradas históricas que no necesites; si hay unidades cifradas, conserva las claves correspondientes.
- Realiza la instalación limpia (preferiblemente borrando particiones).
- Activa BitLocker (o “Cifrado de dispositivo”) tras el primer arranque y respalda la nueva clave:
- Imprime en papel y guarda físicamente.
- Archivo offline (USB sin cifrar guardado aparte).
- Opción de subir a tu cuenta de Microsoft (si así lo deseas).
Buenas prácticas para evitar sustos con BitLocker
- Regla 3–2–1 para claves y datos: al menos 3 copias, en 2 medios, 1 fuera de línea.
- Etiqueta tus unidades (cambia el nombre del volumen): te ayudará a reconocerlas cuando mires claves en tu cuenta.
- No guardes la única clave en la unidad cifrada. Si esa unidad falla, pierdes el acceso.
- Antes de tocar BIOS/UEFI/TPM (actualizaciones de firmware, limpiar TPM, desactivar/activar Arranque seguro), suspende BitLocker o asegúrate de tener la clave. Estos cambios pueden provocar que el equipo solicite la clave en el siguiente arranque.
- En portátiles modernos con “Cifrado de dispositivo” (especialmente con Windows 11), la subida de clave a la cuenta de Microsoft puede ocurrir automáticamente al iniciar sesión por primera vez.
Tabla de diagnóstico: posibles orígenes de esa segunda clave
| Escenario | ¿Genera clave? | ¿Dónde la verías? | Cómo confirmarlo | Acción recomendada |
|---|---|---|---|---|
| Unidad del sistema cifrada antes de reinstalar | Sí | Cuenta de Microsoft (histórico) | manage-bde -status C: (si hoy está “Off”, es histórica) | Eliminar si ya no aplica |
| Unidad de datos interna cifrada (D:, E:) | Sí | Cuenta de Microsoft | manage-bde -protectors -get D: | Conservar si la unidad sigue cifrada |
| SSD externo Samsung T7 con BitLocker To Go | Sí | Cuenta de Microsoft | Conectar T7 y ejecutar manage-bde -status | Conservar si lo sigues usando cifrado |
| Samsung T7 con cifrado por hardware de Samsung | No (no BitLocker) | No debería aparecer | Software de Samsung, no BitLocker | No relacionado con claves de Microsoft |
| Rotación/creación de nueva “Contraseña numérica” | Sí | Cuenta de Microsoft (varias entradas) | Comparar Key ID con la configuración actual | Eliminar las antiguas que ya no apliquen |
| Reinstalación de Windows y recifrado posterior | Sí | Cuenta de Microsoft (nueva fecha) | La clave actual tendrá Key ID distinto | Conservar la nueva; retirar las antiguas |
Por qué no ves “Copiar la clave de recuperación” cuando BitLocker está desactivado
Esa opción forma parte del flujo de respaldo de una clave vigente. Si el volumen no está cifrado, no existe ninguna “Contraseña numérica de recuperación” que respaldar, por lo que el sistema no muestra la acción. Es el comportamiento esperado.
Comprobaciones rápidas recomendadas
- ¿El T7 está cifrado con BitLocker? Conéctalo y ejecuta:
manage-bde -status X: - ¿No aparece “Copiar clave de recuperación”? Es normal con BitLocker apagado.
- ¿Todo descifrado? Si
manage-bde -statusdice que todo está “Off/Fully Decrypted”, las claves en la cuenta son históricas.
Conceptos clave: protectores, TPM y tipos de volumen
BitLocker protege el acceso a tus datos mediante distintos protectores:
- TPM: une el estado de arranque/firmware a la clave de descifrado.
- PIN de inicio: opción adicional para reforzar el arranque.
- Contraseña numérica de recuperación: código de 48 dígitos para desbloquear en caso de contingencia.
- Clave externa (archivo .BEK en USB): más usada en escenarios avanzados.
Según el tipo de volumen, la gestión varía:
- Unidad del sistema (C:): suele usar TPM y genera una contraseña de recuperación.
- Unidades de datos internas: pueden usar contraseña, smartcards o desbloqueo automático vinculado a C:.
- BitLocker To Go (externas): normalmente contraseña y/o archivo de clave; siempre generan su recuperación de 48 dígitos.
Alternativa con PowerShell para listar el estado
Get-BitLockerVolume | Select-Object MountPoint, VolumeType, ProtectionStatus, EncryptionPercentage, AutoUnlockEnabled, KeyProtectorPowerShell te ofrece una vista rápida de todas las unidades. Para ver los protectores concretos de un volumen:
Get-BitLockerVolume -MountPoint "X:" | Select-Object -ExpandProperty KeyProtectorErrores comunes y cómo evitarlos
- Pensar que un único disco físico implica una única clave. Un disco puede albergar varios volúmenes; cada volumen cifrado tendrá su propia clave de recuperación.
- Asumir que la Media Creation Tool cifra unidades. No lo hace. Si apareció una clave adicional, busca otro origen (volumen anterior, T7 cifrado, rotación de clave).
- Formatear sin guardar claves de unidades externas. Si conectas unidades cifradas a otro equipo o a la misma máquina tras cambios de firmware, podrías necesitar la clave.
- Guardar la clave solo en la nube. También mantén copias offline (papel/USB) y protege su privacidad.
- Limpiar el TPM sin suspender BitLocker. Puede provocar solicitud de clave de recuperación en el arranque siguiente.
Checklist final antes y después de la instalación limpia
- Estado actual verificado con
manage-bde -status(todas las unidades). - Unidades externas (T7) revisadas y, si procede, claves exportadas.
- Respaldo de datos críticos realizado y probado.
- Instalación limpia ejecutada (borrado de particiones recomendado para evitar residuos).
- BitLocker activado tras la reinstalación (o “Cifrado de dispositivo” si el equipo lo soporta).
- Nueva clave de recuperación guardada en:
- Cuenta de Microsoft (opcional).
- Papel físico y ubicación segura.
- USB u otro medio offline.
- Entradas antiguas en la cuenta revisadas y, si ya no aplican, eliminadas para evitar confusiones.
Preguntas frecuentes
¿Puedo reutilizar una clave antigua tras reinstalar?
No. Tras una instalación limpia con recreación de particiones, las claves antiguas dejan de ser válidas para el nuevo estado del disco.
¿Eliminar una clave de mi cuenta desactiva BitLocker?
No. El cifrado del volumen no se ve afectado por borrar el registro en la cuenta. Pero, si eliminas la única copia de la clave y la necesitas en el futuro, podrías quedarte sin acceso. Por eso, elimina solo claves confirmadas como históricas.
¿Windows Home usa BitLocker?
Windows Home no ofrece la consola completa de BitLocker, pero muchos equipos modernos incluyen “Cifrado de dispositivo”, basado en la misma tecnología. En la práctica, también genera y respalda una clave de recuperación.
¿Qué diferencia hay entre “Suspender” y “Desactivar” BitLocker?
Suspender solo detiene temporalmente la protección para permitir cambios de firmware/arranque sin pedir la clave. Desactivar (descifrar) elimina el cifrado del volumen.
¿Cómo distingo si una clave es del T7 o de un volumen interno?
Conecta el T7 y ejecuta manage-bde -protectors -get X:. Si aparece una “Contraseña numérica” con un Key ID que coincide con una entrada de tu cuenta, esa entrada pertenece al T7. Si no, probablemente la entrada sea histórica de un volumen interno.
Resumen ejecutivo
Ver dos claves de recuperación en tu cuenta de Microsoft es normal. Cada volumen cifrado y ciertos cambios (reinstalación, rotación de protectores, uso de unidades externas con BitLocker To Go) pueden generar nuevas claves que se guardan sin borrar las anteriores. Si hoy BitLocker está desactivado en todas tus unidades, las claves que ves son residuos históricos. Puedes eliminarlas para mantener orden, previa verificación con manage-bde. De cara a la instalación limpia, respalda tus datos, comprueba el estado de todas las unidades (incluido el Samsung T7), y al activar BitLocker de nuevo, guarda la nueva clave en varios lugares seguros.