MENU
  1. Inicio
  2. Windows
  3. Windows11
  4. Activación automática de BitLocker en Windows 11 24H2: evita sorpresas y protege tu clave

Activación automática de BitLocker en Windows 11 24H2: evita sorpresas y protege tu clave

Windows11

La próxima actualización 24H2 de Windows 11 ha levantado preocupación entre usuarios domésticos y administradores: durante la primera configuración (OOBE) o una simple actualización, el sistema puede activar BitLocker (o su versión “Device Encryption” en Home) sin que el propietario lo advierta. Eso significa que, en el siguiente reinicio crítico, podría solicitarse la clave de recuperación de 48 dígitos, y el equipo quedaría inservible si la clave no está localizable. En esta guía detallada aprenderás cuándo ocurre la activación automática, cómo impedirla o revertirla, y qué pasos dar si ya te ves bloqueado.

Índice

Qué es BitLocker y por qué Microsoft lo activa

BitLocker es la tecnología de cifrado de disco completa integrada en Windows desde Vista. En Windows 11 existen dos sabores:

  • Device Encryption (ediciones Home). Actúa de forma casi transparente y posee menos opciones avanzadas.
  • BitLocker completo (ediciones Pro, Enterprise y Education). Permite métodos adicionales de autenticación, particiones de recuperación y directivas de grupo.

Microsoft justifica la activación automática por tres motivos principales:

  1. Protección contra robo de datos: si se pierde o roba el equipo, el atacante no podrá leer la información sin la clave.
  2. Requisitos corporativos y normativos: muchas empresas y legislaciones (PCI‑DSS, HIPAA, RGPD) exigen cifrado de datos en reposo.
  3. Compatibilidad total con hardware moderno: TPM 2.0 y arranque seguro permiten que el impacto en rendimiento sea mínimo (‑1 % a ‑3 % de media).

Aun así, la decisión de cifrar debería ser consciente. No todos los usuarios respaldan de forma rutinaria la clave de recuperación y, si esta se pierde, los datos se vuelven irrecuperables.

Requisitos para que el sistema se cifre solo

Para que Windows 11 24H2 active el cifrado sin preguntar se cumplen todas las condiciones siguientes:

  • Presencia de un módulo TPM 2.0 habilitado y configurado en UEFI.
  • Arranque seguro (Secure Boot) activado.
  • Unidad de sistema formateada en GPT con partición EFI y partición MSR estándar.
  • Inicio de sesión con cuenta Microsoft durante la fase OOBE o la sesión de actualización.
  • Directiva de grupo “Require Device Encryption” sin bloquearse explícitamente.

Si faltase uno solo de estos requisitos (por ejemplo, se usa cuenta local o el TPM está deshabilitado en BIOS), el sistema omitirá la activación automática, aunque más tarde pueda sugerirla.

Escenarios típicos y cómo se comporta BitLocker

Escenario¿Se activa BitLocker/Device Encryption?¿Dónde queda la clave?Cómo evitarlo / desactivarlo
Actualización a 24H2 desde “Configuración > Windows Update”Con cuenta Microsoft: .
Con cuenta local: No.		Se almacena en la cuenta Microsoft del usuario.• Iniciar sesión con cuenta local.
• Tras la actualización, ir a Configuración > Privacidad y seguridad > Cifrado y pulsar Desactivar.
Instalación limpia (USB/OEM), en cualquier edición, si se usa cuenta Microsoft en OOBE.Cuenta Microsoft creada en OOBE.• Crear cuenta local durante OOBE.
• O, antes de instalar, añadir PreventDeviceEncryption=1 en el Registro.
Equipos empresariales o Windows 11 Pro preconfiguradosA menudo llega ya cifrado (política corporativa).Gestor de TI o cuenta Microsoft corporativa.Contactar con TI; la desactivación puede estar bloqueada por directivas.

Cambiar el Registro para bloquear la activación

Agregar el valor PreventDeviceEncryption antes de actualizar o instalar impide que el asistente de configuración active BitLocker automáticamente. Se crea así:

reg add "HKLM\SYSTEM\CurrentControlSet\BitLocker" /v PreventDeviceEncryption /t REG_DWORD /d 1 /f

También puede hacerse en el offline registry desde WinPE antes de la primera instalación; basta con cargar la rama SYSTEM del disco objetivo.

Cómo comprobar si tu unidad ya está cifrada

  1. Abre Configuración > Sistema > Almacenamiento > Propiedades de disco. Si aparece “Cifrado de dispositivo activado”, el cifrado está en marcha.
  2. En ediciones Pro, escribe manage-bde -status en PowerShell: verás “Conversion Status: Encrypted” y “Percentage Encrypted: 100 %”.
  3. Busca el icono de candado en el disco del Explorador de Archivos; indica BitLocker activo.

Pasos para desactivar BitLocker con seguridad

Si decides descifrar tu unidad (por ejemplo, porque cambias hardware con frecuencia o porque el PC permanece siempre en casa sin datos sensibles), hazlo así:

  1. Ve a Configuración > Privacidad y seguridad > Cifrado de dispositivo (Home) o Administración de BitLocker (Pro).
  2. Haz clic en Desactivar BitLocker. El proceso de descifrado puede tardar de minutos a horas, según el tamaño y velocidad de la unidad.
  3. Confirma que el manage-bde -status indica “Conversion Status: Fully Decrypted”.
  4. Reinicia para asegurarte de que el arranque ya no pide la clave.

Cómo recuperar la clave de BitLocker si te quedas bloqueado

Tras un cambio de hardware, actualización de UEFI o error de arranque, BitLocker puede solicitar la clave. Si no recuerdas dónde la guardaste:

  • Visita account.microsoft.com/devices/recoverykey desde un segundo dispositivo e inicia sesión con la misma cuenta usada en OOBE.
  • En entornos corporativos, contacta con el departamento de TI: la clave suele almacenarse en Azure AD o Active Directory.
  • Si no existe copia de la clave, no hay método de fuerza bruta. La única salida es reinstalar Windows desde un medio externo y perder los datos.

Buenas prácticas para evitar disgustos

  • Exporta la clave de recuperación a tres ubicaciones distintas: USB cifrado, gestor de contraseñas y copia impresa.
    ¡No la guardes en el mismo disco cifrado!
  • Documenta los cambios de hardware: con una simple actualización de BIOS el TPM puede invalidar la medida de arranque seguro y pedir la clave.
  • Crea una cuenta local al instalar el sistema si no deseas el cifrado de inicio.
  • Envía feedback a Microsoft para solicitar un opt‑in explícito. Cada voto en Feedback Hub cuenta.
  • Mantén copias de seguridad externas frecuentes; BitLocker protege tus archivos frente a terceros, pero no frente a ti mismo si pierdes la clave.

Preguntas frecuentes

¿BitLocker reduce el rendimiento? En equipos con aceleración AES‑NI o XTS‑AES y unidades SSD NVMe el impacto es casi imperceptible. En portátiles con HDD antiguos puede notarse un pequeño retraso de E/S. ¿Puedo cifrar solo una partición? Con la herramienta de interfaz gráfica no; BitLocker cifra volumen por volumen. Sin embargo, puedes dejar la partición de datos sin cifrar y cifrar solo la de sistema. ¿Existe riesgo de corrupción de datos al descifrar? El proceso está comprobado y usa validación CRC. No obstante, siempre es recomendable una copia antes de descifrar o cifrar. Si usé cuenta local, ¿puedo cifrar manualmente? Sí. Ve a Configuración > Privacidad y seguridad > Cifrado, pulsa Activar y el sistema ofrecerá guardar la clave en una Microsoft Account opcional o exportarla manualmente. ¿Qué pasa si clono un disco cifrado? La clonación sector a sector mantendrá el cifrado. Al arrancar desde la copia, BitLocker detectará un cambio de ID de disco y pedirá la clave.

Conclusión

La activación automática de BitLocker en Windows 11 24H2 es una medida de seguridad bienvenida para muchos, pero también potencialmente problemática si no se gestiona la clave de recuperación. Decide conscientemente: si te beneficia el cifrado, conserva la clave en un lugar seguro; si prefieres manejar tu propio flujo de respaldo y no exponerte al riesgo de pérdida, bloquea la activación con el Registro o emplea una cuenta local. Sea cual sea tu elección, la preparación y la copia de seguridad siguen siendo la mejor defensa.

Windows11
seguridad Windows 11 BitLocker Cifrado 24H2
Índice