MENU
  1. Inicio
  2. Windows
  3. Windows11
  4. Solución al error “Starting BitLocker – The Group Policy settings for BitLocker startup options are in conflict and cannot be applied” en Windows 11 Pro

Solución al error “Starting BitLocker – The Group Policy settings for BitLocker startup options are in conflict and cannot be applied” en Windows 11 Pro

Windows11

¿Encontraste el temido aviso “Starting BitLocker – The Group Policy settings for BitLocker startup options are in conflict and cannot be applied” cuando intentabas cifrar tu memoria USB en Windows 11 Pro? En esta guía aprenderás por qué sucede y cómo resolverlo paso a paso, de forma segura y definitiva.

Índice

Motivo del conflicto en BitLocker

BitLocker compara las políticas de seguridad vigentes —locales, de dominio o heredadas— con la configuración real del hardware (TPM, PIN, claves de inicio, etc.). Si detecta combinaciones imposibles (por ejemplo, exigir un PIN pero negar el uso de TPM), se detiene para no dejar el equipo en un estado de arranque inestable. El resultado es el mensaje de error que bloquea el cifrado de unidades externas.

BitLocker y el rol del TPM

El Trusted Platform Module (TPM) aporta un almacén seguro de claves. Sin él, BitLocker puede operar, pero hay que autorizarlo explícitamente. Cuando tu equipo tiene TPM pero una política lo deshabilita o simultáneamente exige y niega ciertos métodos de autenticación, surge el conflicto.

Directivas de Grupo locales vs. heredadas

En equipos domésticos actualizados de Windows 11 Home a Pro, los parámetros de cifrado se rigen por la Directiva de Grupo Local. Sin embargo, restos de políticas antiguas, plantillas importadas o incluso scripts de software de seguridad pueden grabar valores en el registro (HKLM\SOFTWARE\Policies\Microsoft\FVE) que BitLocker también lee. Basta una sola incongruencia para provocar el fallo.

Antes de empezar: medidas de seguridad básicas

  • Copia de seguridad reciente: guarda tus datos esenciales en otra unidad o en la nube.
  • Punto de restauración del sistema: abre “Protección del sistema” → “Crear” para generar un estado seguro al que volver.
  • Cuenta con privilegios de administrador: imprescindible para editar políticas y el registro.

Ajustar la Directiva de Grupo Local

Sigue estos pasos con calma. Tras cada cambio, usa los botones de Aceptar y Aplicar para que surtan efecto.

  1. Presiona Win + R, escribe gpedit.msc y pulsa Intro.
  2. Navega a Equipo → Plantillas administrativas → Componentes de Windows → Cifrado de unidad BitLocker → Unidades del sistema operativo.
  3. Haz doble clic en Requerir autenticación adicional al inicio.
  4. Marca la opción Habilitada.
  5. En la sección de configuraciones:
    • Permitir BitLocker sin un TPM compatible: desmarcada* (ver nota más adelante).
    • Configurar inicio con TPM: No permitir TPM.
    • Configurar PIN de inicio con TPM: Requerir PIN de inicio con TPM.
    • Configurar clave de inicio con TPM: No permitir clave de inicio con TPM.
    • Configurar clave y PIN de inicio con TPM: No permitir clave ni PIN de inicio con TPM.

*Si tu equipo carece de TPM o prefieres que BitLocker funcione aun cuando el chip esté deshabilitado en la BIOS, activa esta casilla. En el escenario descrito el objetivo era forzar un PIN trabajando con TPM, por eso se dejó desmarcada.

Tabla rápida de la configuración recomendada

OpciónEstado idealDescripción
Permitir BitLocker sin TPMNoObliga al uso del chip TPM existente.
Inicio con TPMNo permitirAsegura que haya un segundo factor (PIN).
PIN de inicio con TPMRequerirSolicita PIN cada encendido.
Clave de inicio con TPMNo permitirEvita depender de un archivo de clave en USB.
Clave + PIN con TPMNo permitirEvita duplicar factores innecesarios.

Eliminar valores heredados en el registro

Incluso con la directiva bien ajustada, valores obsoletos en el registro pueden prevalecer. Limpia la rama de BitLocker:

  1. Abre el Editor del Registro (Win + Rregedit).
  2. Navega a HKLM\SOFTWARE\Policies\Microsoft\FVE.
  3. En el panel derecho, identifica cualquier valor REG_DWORD cuyo dato sea 0 o 1 (por ejemplo, EnableBDEWithNoTPM, RequireActiveDirectoryBackup, etc.).
  4. Haz clic derecho y selecciona Eliminar uno por uno. No borres subclaves completas salvo que estés seguro de su propósito.

Consejo: exporta la rama FVE antes de modificarla (Archivo → Exportar) para restaurarla si algo falla.

Aplicar los cambios y forzar actualización de políticas

  1. Cierra todas las ventanas de Política de Grupo y Registro.
  2. Abre una consola de PowerShell o Símbolo del sistema como administrador.
  3. Escribe gpupdate /force y presiona Intro. Aparecerá un breve resumen confirmando la actualización.
  4. Reinicia el equipo.

Tras el arranque, conecta la memoria USB, haz clic derecho sobre ella en el Explorador y elige Activar BitLocker. El asistente debería fluir sin mostrar el error.

Preguntas frecuentes

¿Puedo ejecutar estos pasos si mi PC pertenece a un dominio?

Sí, pero tus políticas locales podrían quedar sobrescritas por el servidor de Directorio Activo. Pide al administrador de TI que configure las mismas opciones en la GPO de nivel de dominio.

¿Qué ocurre si borro accidentalmente la clave FVE equivocada?

BitLocker restaurará los valores predeterminados en el próximo arranque, pero podrías perder configuraciones corporativas. Mantén una copia exportada y restáurala si detectas problemas.

¿Cómo afecta Secure Boot?

No interfiere directamente. No obstante, desactivar Secure Boot puede invalidar la cadena de confianza exigida por algunas configuraciones de BitLocker y TPM. Lo ideal es mantenerlo habilitado.

¿Existe riesgo de pérdida de datos durante el cifrado?

BitLocker cifra sectores “en caliente”, pero una caída de energía o extraer la unidad durante el proceso puede corromperla. Usa un SAI o al menos una batería completamente cargada.

Buenas prácticas para cifrar unidades USB

  • Formato NTFS frente a exFAT: BitLocker funciona en ambos, pero NTFS permite asignar permisos avanzados.
  • Elige AES‑XTS 256 bit: mayor seguridad con una penalización de rendimiento mínima en equipos modernos.
  • Guarda tu clave de recuperación: imprímela o almacénala en tu cuenta Microsoft; evita dejarla en la misma unidad cifrada.
  • Etiqueta la unidad: asigna un nombre descriptivo para reconocerla en la consola de BitLocker.
  • Verifica el chip TPM en BIOS/UEFI: debe estar Enabled y Active.

Métodos alternativos si el error persiste

Si después de todo BitLocker sigue generando conflictos:

  1. Restablecimiento de políticas: ejecuta secpol.msc, navega a Políticas de control de cuentas y restablece valores predeterminados.
  2. Scripts DISM y SFC: repararán archivos de sistema dañados que podrían afectar al módulo de BitLocker (DISM /Online /Cleanup-Image /RestoreHealth seguido de sfc /scannow).
  3. Revisión de actualizaciones: comprueba en Windows Update que tengas los últimos parches y microcódigos de firmware.
  4. Soporte OEM: algunos portátiles incluyen utilidades propias que alteran la configuración de TPM; revisa la documentación de HP y actualiza BIOS si hay revisiones recientes.
  5. Cifrado por software independiente: soluciones como VeraCrypt brindan cifrado full‑disk o de volúmenes si optar por BitLocker no es viable.

Conclusión

El error de conflicto de políticas en BitLocker no es un callejón sin salida. Con un enfoque sistemático —respaldar el sistema, ajustar la Directiva de Grupo, limpiar el registro y forzar la actualización de políticas— el cifrado de tu memoria USB en Windows 11 Pro queda restablecido. Obtendrás la protección de datos que buscabas sin depender de largas esperas con el soporte técnico.

Recuerda revisar periódicamente la configuración de tus políticas y mantener firmware, drivers y parches al día. Así, BitLocker seguirá siendo una herramienta robusta para asegurar tus unidades internas y externas de la forma más transparente posible.

Windows11
Políticas de Grupo Troubleshooting Windows 11 BitLocker Cifrado USB
Índice