BitLocker y la recuperación de datos: dos mundos que chocan
BitLocker es la herramienta de cifrado de disco completo integrada en Windows desde Vista (ediciones Pro y Enterprise). Ofrece una protección sólida: sin la clave de cifrado, los datos de la unidad son ilegibles. El problema surge cuando la unidad falla físicamente o cuando la clave de recuperación se pierde. En ese momento, el cifrado —diseñado para proteger los datos— se convierte en el mayor obstáculo para recuperarlos.
Este artículo explica en detalle los distintos escenarios en los que puede perderse el acceso a un SSD cifrado con BitLocker, qué herramientas existen para intentar la recuperación y cuándo es necesario acudir a un laboratorio especializado.
Cómo funciona BitLocker internamente
BitLocker cifra el contenido del disco usando el algoritmo AES-128 o AES-256 (configurable por política de grupo). La clave de cifrado del volumen (FVEK, Full Volume Encryption Key) se protege a su vez con una o varias claves maestras (VMK, Volume Master Key). Estas claves maestras pueden estar custodiadas por:
- El TPM (Trusted Platform Module): chip soldado en la placa base que solo libera la VMK si el hardware no ha sido manipulado.
- Un PIN o contraseña de arranque.
- Una llave USB de arranque.
- La clave de recuperación: un número de 48 dígitos que permite desbloquear el volumen independientemente del hardware.
Este diseó en capas significa que hay varias vías para acceder al volumen cifrado, pero también múltiples puntos donde puede bloquearse el acceso.
Escenario 1: fallo del TPM o cambio de hardware
El escenario más habitual es que BitLocker esté configurado en modo TPM automático (sin PIN). El equipo arrancaba solo y el usuario no había necesitado nunca una clave de recuperación. Al cambiar la placa base, sustituir el TPM, o en algunos casos simplemente actualizar el BIOS, BitLocker detecta el cambio de medición del hardware y bloquea el arranque, solicitando la clave de recuperación de 48 dígitos.
¿Qué hacer en este caso?
- Buscar la clave de recuperación en la cuenta Microsoft del usuario:
account.microsoft.com/devices/recoverykey. - Si el equipo estaba unido a un dominio de Active Directory, el administrador puede obtenerla desde Usuarios y Equipos de AD, propiedades del objeto equipo, pestaña BitLocker Recovery.
- Si está en Azure AD / Entra ID, buscar en el portal de Azure bajo Dispositivos > [nombre del equipo] > Claves de recuperación de BitLocker.
- Buscar en el archivo de texto o la impresión que pudo guardarse cuando se activó BitLocker por primera vez.
Si la clave está disponible, la recuperación es sencilla: introducirla en la pantalla de recuperación de Windows y el sistema arranca normalmente. No es necesario un laboratorio en este caso.
Escenario 2: PIN olvidado o clave de recuperación perdida
Cuando BitLocker está configurado con TPM + PIN y el PIN se olvida, la única vía de acceso es la clave de recuperación. Si esta tampoco está disponible, el volumen es prácticamente inaccesible con las herramientas actuales.
Hay que ser completamente honestos aquí: AES-256 con una clave aleatoria de 256 bits no es atacable por fuerza bruta con la tecnología actual. Si no tienes la clave de recuperación y el TPM no puede desbloquear el volumen, la probabilidad de recuperar el contenido es extremadamente baja. Las herramientas como Elcomsoft Forensic Disk Decryptor o Passware pueden intentar ataques de diccionario contra el PIN si era débil, pero un PIN alfanumérico largo hace este ataque inviable.
Herramientas especializadas en intentos de recuperación de clave
| Herramienta | Enfoque | Eficacia real |
|---|---|---|
| Elcomsoft Forensic Disk Decryptor | Análisis de volcado de RAM / hibernación para extraer clave en memoria | Alta si el equipo estaba encendido |
| Passware Kit Forensic | Ataque a fichero de hibernación hiberfil.sys | Alta si existe hiberfil.sys |
| BitLocker Repair Tool (Microsoft) | Reparación de metadatos dañados con clave conocida | Solo con clave disponible |
| Ataque de diccionario al PIN | Prueba combinaciones de PIN cortos o comunes | Baja para PIN ≥ 8 carácteres |
Escenario 3: fallo físico del SSD con BitLocker activo
Este es el escenario más complejo y el que más consultas nos genera. El SSD falla físicamente —controlador dañado, celdas NAND con errores irreversibles, fallo de la DRAM de caché— y además el volumen está cifrado con BitLocker. Hay dos capas de problema: primero hay que recuperar los datos crudos del chip NAND, y después hay que descifrarlos.
Paso 1: recuperación del chip NAND
Cuando el controlador del SSD falla, la única opción es el chip-off: desoldado de los chips de memoria NAND para leerlos directamente con un programador. Este proceso requiere:
- Sala limpia y equipo de soldadura de infrarrojos o aire caliente.
- Programador de NAND compatible con el tipo de chip (TLC, QLC, MLC).
- Software para reconstruir la traducción de la FTL (Flash Translation Layer), ya que el controlador del SSD realiza el mapeo lógico-físico de los bloques y sin él los datos leídos son un puzzle.
En el mejor de los casos, tras el chip-off obtenemos una imagen raw de los chips NAND. Esta imagen contiene el volumen BitLocker en crudo, cifrado.
Paso 2: descifrado del volumen recuperado
Con la imagen del volumen cifrado en mano, el descifrado requiere la clave de recuperación BitLocker o la VMK extraccíon del TPM. Si la clave está disponible:
- Se monta la imagen en loopback y se descifra con la herramienta
manage-bdede Windows o con Elcomsoft Forensic Disk Decryptor. - Una vez descifrado el volumen, se aplican las técnicas habituales de recuperación de archivos si hay corrupción en el sistema de archivos NTFS subyacente.
Si la clave no está disponible y el TPM es inaccesible (porque la placa base está dañada), la situación se vuelve muy complicada. En algunos casos —dependiendo del modelo de SSD y del firmware— hay técnicas avanzadas de análisis forense que pueden encontrar restos de metadatos BitLocker en páginas NAND no limpiadas, pero el éxito no está garantizado y el coste es elevado.
Escenario 4: actualización de Windows que bloquea BitLocker
Algunas actualizaciones de Windows (especialmente las actualizaciones de BIOS/UEFI distribuidas a través de Windows Update) modifican las mediciones del TPM y provocan que BitLocker solicite la clave de recuperación en el próximo arranque. Es un escenario cada vez más frecuente desde que Microsoft empezó a distribuir actualizaciones de firmware a través de Windows Update.
La solución es la misma que en el escenario 1: localizar la clave de recuperación. Si el usuario tenía su cuenta Microsoft configurada, es probable que la clave esté almacenada automáticamente en la nube.
Escenario 5: SSD con autocifrado (eDrive/OPAL) y BitLocker
Algunos SSD de alta gama (Samsung 860/870 EVO, Crucial MX series) implementan cifrado de hardware basado en el estándar TCG Opal / eDrive. Cuando BitLocker detecta que el SSD soporta eDrive, puede delegar el cifrado en el hardware del disco en lugar de cifrarlo por software. Esto es más rápido pero puede causar problemas de compatibilidad en recuperación, ya que la clave de cifrado está almacenada dentro del propio controlador del SSD.
Si el controlador falla en un SSD OPAL con BitLocker eDrive activo, incluso con la clave de recuperación puede ser imposible descifrar los datos, porque la clave de cifrado interna del disco ya no es accesible. Es uno de los escenarios de mayor complejidad técnica en recuperación de datos.
Dónde encontrar la clave de recuperación BitLocker: guía rápida
| Ubicación | Cómo acceder | Disponible si… |
|---|---|---|
| Cuenta Microsoft | account.microsoft.com/devices/recoverykey | BitLocker se activó con cuenta MS iniciada sesión |
| Active Directory | ADUC > propiedades equipo > BitLocker Recovery | Equipo unido a dominio AD y política de respaldo configurada |
| Azure AD / Entra ID | Portal Azure > Dispositivos > Claves de recuperación | Equipo registrado en Azure AD |
| Archivo de texto guardado | Archivo .txt en USB o carpeta de red | Usuario lo guardó manualmente al activar BitLocker |
| Impresión física | Papel guardado | Usuario imprimíó la clave al activar BitLocker |
| Microsoft MBAM | Portal MBAM corporativo | Empresa usa Microsoft BitLocker Administration and Monitoring |
Precios orientativos para recuperación de SSD con BitLocker
| Escenario | Precio orientativo | Plazo habitual |
|---|---|---|
| SSD funcional + clave disponible (desbloqueo + recuperación de archivos) | 200 – 350 € | 1-2 días |
| SSD con daño lógico + clave disponible | 250 – 450 € | 2-4 días |
| SSD con fallo de controlador + chip-off + clave disponible | 500 – 800 € | 4-12 días |
| SSD chip-off + clave NO disponible (intento forense avanzado) | Consultar (desde 600 €) | 10-20 días |
Precios sin IVA. El diagnóstico inicial es gratuito. Solo se factura si hay recuperación exitosa.
Qué debes hacer si tienes un SSD cifrado con BitLocker averiado
- No intentes desactivar BitLocker ni formatear el SSD: si el disco está funcionando parcialmente, cualquier escritura puede dañar los metadatos del volumen cifrado.
- Busca la clave de recuperación en todas las fuentes posibles antes de enviarnos el disco: ahorra tiempo y reduce el coste del servicio.
- No reinicies el equipo repetidamente: si la unidad está en proceso de fallar, los ciclos de encendido aceleran el deterioro.
- Envíanos el SSD con una nota indicando si tienes la clave de recuperación, el tipo de cifrado (TPM, TPM+PIN, eDrive) y el modelo exacto del disco.
¿Tienes un SSD cifrado con BitLocker que no arranca o ha fallado físicamente? Solicita un diagnóstico gratuito y uno de nuestros técnicos especializados te contactará en menos de 2 horas.
WhatsApp