BitLocker vs EFS: qué hacen y cómo usarlos, cuándo son seguros y cuando no lo son
BitLocker vs EFS: qué hacen y cómo usarlos, cuándo son seguros y cuando no lo son
En el ecosistema de Windows existen dos tecnologías de cifrado que suelen confundirse: BitLocker y EFS (Encrypting File System). Ambas protegen la información, pero lo hacen de manera distinta y con alcances muy diferentes. Entender cómo funcionan es clave para saber qué sucede cuando copiamos, enviamos o sincronizamos archivos encriptados.
🧩 BitLocker: cifrado de disco completo
- Qué hace: cifra todo el contenido de un disco o partición (incluyendo sistema operativo, archivos temporales y espacio libre).
- Cómo se usa: se activa desde el Panel de Control o Configuración de Windows en unidades internas o externas.
- Alcance: protege el disco completo; sin la clave de recuperación o credenciales del usuario, el contenido es ilegible.
🔎 Qué pasa al mover archivos
- Copiar a un pendrive sin BitLocker: los archivos se copian en claro, ya no están protegidos.
- Enviar por mail: el adjunto viaja sin cifrado adicional, salvo que uses otra herramienta.
- Sincronizar en la nube: se suben en claro, porque BitLocker protege solo el disco físico, no el archivo fuera de él.
🔎 Escenarios prácticos
- Copiar archivos a un pendrive, enviar por mail o subir a la nube: los archivos se descifran al salir del disco, por lo que viajan en claro.
- Extraer el disco y conectarlo a otro equipo: el contenido sigue cifrado; sin la clave de recuperación, no se puede acceder.
- Robo del equipo: aunque el ladrón tenga el hardware, no podrá leer el disco sin las credenciales.
- Pérdida de credenciales: si se pierde la clave de recuperación, el acceso es imposible.
- ¿Existen métodos para abrirlo sin credenciales? No de forma eficiente. BitLocker usa cifrado AES fuerte; sin la clave, el contenido es inaccesible.
👉 Conclusión: BitLocker protege contra el acceso físico no autorizado al disco, pero no mantiene el cifrado al mover archivos fuera de esa unidad.
🧩 EFS: cifrado a nivel de archivo y carpeta
- Qué hace: cifra archivos y carpetas individuales dentro de NTFS usando certificados vinculados al usuario.
- Cómo se usa: clic derecho sobre un archivo/carpeta → Propiedades → Avanzados → “Cifrar contenido para proteger datos”.
- Alcance: solo el usuario que cifró (o un administrador con el certificado) puede abrirlos.
🔎 Qué pasa al mover archivos
- Copiar a un pendrive FAT32/ExFAT: el archivo se descifra automáticamente y queda en claro.
- Enviar por mail: el adjunto se descifra antes de enviarse, por lo que el receptor lo recibe sin protección.
- Sincronizar en la nube: al subirlos, se descifran; en la nube están en claro.
🔎 Escenarios prácticos
- Copiar a un pendrive FAT32/ExFAT, enviar por mail o subir a la nube: los archivos se descifran automáticamente y quedan en claro.
- Extraer el disco y conectarlo a otro equipo: los archivos siguen cifrados, pero solo pueden abrirse si se exportan/importan los certificados del usuario original.
- Robo del equipo: el ladrón no podrá abrir los archivos cifrados sin el certificado del usuario.
- Pérdida de certificados: si no se hizo copia de seguridad del certificado EFS, los archivos quedan inaccesibles.
- ¿Existen métodos para abrirlos sin credenciales? No. El cifrado EFS también usa algoritmos fuertes; sin el certificado, el archivo es ilegible.
👉 Conclusión: EFS protege archivos dentro del sistema NTFS y bajo las credenciales del usuario, pero al sacarlos de ese entorno pierden la protección.
📊 Diferencias clave
| Característica | BitLocker | EFS |
|---|---|---|
| Nivel de cifrado | Disco/partición completa | Archivos y carpetas individuales |
| Persistencia al copiar | ❌ No | ❌ No |
| Acceso tras extracción de disco | ❌ No, salvo con clave de recuperación | ❌ No, salvo con certificado |
| Robo del equipo | Datos protegidos | Archivos protegidos |
| Pérdida de credenciales/certificados | Acceso imposible | Acceso imposible |
| Métodos de apertura sin credenciales | No existen | No existen |
| Requiere credenciales/certificado | ✅ Sí (clave de recuperación) | ✅ Sí (certificado del usuario) |
| Uso típico | Protección de laptops, discos externos | Protección granular de documentos en NTFS |
| Seguridad al enviar/sincronizar | No mantiene cifrado | No mantiene cifrado |
🛡️ Algunos detalles de seguridad
- BitLocker protege contra el acceso físico no autorizado al disco. Ideal para laptops y discos externos.
- EFS protege archivos dentro de NTFS y bajo las credenciales del usuario. Útil para documentos sensibles en un entorno corporativo.
- Ambos sistemas dependen de las credenciales/certificados. Si se pierden, no hay forma eficiente de recuperar los datos.
- Ninguno mantiene el cifrado al mover archivos fuera del entorno original. Para compartir datos cifrados, se recomienda usar herramientas adicionales como 7-Zip con AES, VeraCrypt o servicios de nube con cifrado de extremo a extremo.
🔗 En resumen: BitLocker y EFS son excelentes para proteger datos en reposo dentro de Windows, pero no garantizan seguridad al mover archivos fuera del sistema. Si necesitás compartir información sensible, usá cifrado adicional.
🔐 Cómo se usa BITLOCKER – Cifrado de disco completo
🪜 Activar BitLocker
- Abrí el Panel de Control → Sistema y Seguridad → Cifrado de unidad BitLocker.
- Seleccioná la unidad que querés cifrar (ej. C:, D:, disco externo).
- Hacé clic en “Activar BitLocker”.
- Elegí cómo querés desbloquear el disco:
- Contraseña
- Tarjeta inteligente
- Vinculado a tu cuenta Microsoft (en equipos modernos)
- Guardá la clave de recuperación:
- En tu cuenta Microsoft
- En un archivo
- Impresa
- Elegí el modo de cifrado:
- Nuevo modo (XTS-AES) para discos internos
- Compatible para discos externos que se usen en versiones anteriores de Windows
- Confirmá y comenzá el cifrado. Puede tardar según el tamaño del disco.
🧯 Desactivar BitLocker
- Volvé al Panel de Control → BitLocker.
- Hacé clic en “Desactivar BitLocker” en la unidad cifrada.
- Se iniciará el proceso de descifrado (puede tardar).
- Una vez completado, el disco estará en claro.
🔐 Cómo se usa EFS – Cifrado por archivo o carpeta
🪜 Activar EFS
- Seleccioná el archivo o carpeta que querés cifrar.
- Clic derecho → Propiedades.
- En la pestaña General, hacé clic en “Avanzado…”.
- Activá la opción “Cifrar contenido para proteger datos”.
- Aceptá y aplicá los cambios.
- Windows generará un certificado EFS automáticamente (si no existe).
- Podés exportarlo desde certmgr.msc para respaldo.
🧯 Desactivar EFS
- Clic derecho sobre el archivo/carpeta cifrada → Propiedades.
- Avanzado… → Desactivá “Cifrar contenido…”.
- Aplicá los cambios. El archivo se descifra y queda en claro.
🛡️ Recomendaciones clave
- BitLocker: ideal para proteger discos completos, especialmente en notebooks o discos externos.
- EFS: útil para proteger documentos específicos en entornos NTFS, pero no sirve en FAT32 o al enviar por mail.
- Exportá y respaldá tus claves/certificados: si los perdés, no hay forma de recuperar los datos.
- No confíes en que el cifrado se mantiene al copiar archivos fuera del entorno: usá cifrado adicional si vas a compartir.
Hasta acá ya vimos claramente que BitLocker sólo protege los datos mientras los mantengamos dentro del disco pero, si los copiamos, movemos o enviamos por algún medio, son descifrados automáticamentey quedan expuestos. Lo bueno es que nadie sin acceso a nuestra sesión de Windows o las claves de recuperación de Botlocker podría hacerlo.
Ahora veamos más en detalle que pasa con EFS.
🧩 Cómo funciona EFS al copiar a un pendrive
- El formato del pendrive importa:
- Si el pendrive está en NTFS, los archivos se copian manteniendo el cifrado EFS.
- Si el pendrive está en FAT32 o exFAT (lo más común), Windows descifra automáticamente los archivos al copiarlos, porque esos sistemas de archivos no soportan EFS. En ese caso, el contenido queda en claro y cualquiera con acceso al pendrive puede abrirlo.
- Acceso en NTFS con EFS activo:
- Aunque los archivos estén cifrados en el pendrive NTFS, solo el usuario que los cifró (o alguien con el certificado EFS exportado) puede abrirlos.
- Para otros usuarios o equipos sin el certificado, los archivos aparecen bloqueados e ilegibles.
🔎 Escenarios prácticos
- Pendrive FAT32/exFAT (lo habitual):
- El archivo se descifra al copiarse.
- ✅ Cualquiera puede abrirlo.
- ❌ Pierde la protección EFS.
- Pendrive NTFS:
- El archivo se mantiene cifrado.
- ❌ No puede abrirlo cualquiera.
- ✅ Solo el usuario con el certificado EFS correspondiente puede acceder.
🛡️ Resumiendo…
- EFS protege archivos dentro de NTFS y bajo las credenciales del usuario.
- Al copiar a un pendrive común (FAT32/exFAT), el cifrado se pierde y el archivo queda accesible.
- Para mantener la protección, el pendrive debe estar en NTFS y el certificado EFS debe estar presente en el equipo que intenta abrir el archivo.
- Sin el certificado, no hay forma eficiente de abrir el archivo cifrado.
👉 Entonces si copiás a un pendrive FAT32/exFAT, cualquiera puede abrirlo; si copiás a un pendrive NTFS, solo vos (o quien tenga tu certificado EFS) podrá hacerlo.
Y si sincronizamos con una nube?
🧩 Sistema de archivos y OneDrive
- NTFS es el sistema de archivos que usa Windows en discos locales.
- EFS (Encrypting File System) depende de NTFS para mantener el cifrado a nivel de archivo/carpeta.
- OneDrive no guarda los archivos en NTFS: sincroniza los contenidos hacia la nube en su propio almacenamiento, que no soporta EFS.
🔎 Qué pasa al sincronizar con OneDrive, Google Drive, Dropbox, etc…
- Cuando copiás o sincronizás una carpeta cifrada con EFS hacia una nube:
- El cliente de sincronización descifra los archivos antes de subirlos.
- En la nube, los archivos quedan en claro, sin la protección EFS.
- Cualquier persona con acceso a tu cuenta de OneDrive puede abrirlos sin necesidad de certificados EFS.
🛡️ Datos prácticos
- EFS protege solo dentro de NTFS y bajo tus credenciales locales.
- Al mover o sincronizar fuera de NTFS (pendrive FAT32, correo, nube), el cifrado se pierde.
- Para mantener seguridad en la nube, necesitás cifrado adicional:
- Contenedores cifrados (ej. VeraCrypt).
- Archivos comprimidos con contraseña y AES (ej. 7-Zip).
- Servicios de nube con cifrado de extremo a extremo (ej. Nextcloud con E2EE activado).
✅ OneDrive, Google Drive, Dropbox y casi todos los más conocidos, no usan NTFS y por lo tanto los archivos cifrados con EFS se guardan descifrados al sincronizarse. Si querés que sigan protegidos en la nube, tenés que aplicar un cifrado adicional antes de subirlos.
🧩 Y el Almacén Personal de OneDrive?
- Es una carpeta especial dentro de OneDrive protegida con autenticación adicional (PIN, huella, SMS, etc.).
- Los archivos dentro del Almacén Personal están bloqueados detrás de esa autenticación y no se muestran en el resto de la nube hasta que se desbloquea.
- Microsoft aplica cifrado en reposo y en tránsito, pero no es el mismo cifrado granular de EFS.
🔎 Qué pasa al sincronizar EFS con Almacén Personal
- Al subir archivos cifrados con EFS al Almacén Personal:
- Se descifran antes de sincronizarse.
- En la nube quedan protegidos por el cifrado de OneDrive y la autenticación adicional del Almacén Personal, no por EFS.
- Esto significa que:
- ✅ Están más seguros que en una carpeta normal de OneDrive.
- ❌ No mantienen la protección EFS original.
- ✅ Solo se pueden abrir si el usuario accede al Almacén Personal con sus credenciales de Microsoft.
- ❌ Si alguien obtiene acceso a tu cuenta Microsoft y desbloquea el Almacén Personal, puede abrirlos sin necesidad de certificados EFS.
🛡️ En síntesis
- EFS no se mantiene en la nube.
- El Almacén Personal de OneDrive sí protege los archivos, pero con mecanismos propios de Microsoft (autenticación reforzada y cifrado en la nube).
- Para máxima seguridad, si querés que los archivos sigan cifrados de forma independiente, conviene comprimirlos con contraseña (7-Zip AES) o usar un contenedor cifrado (VeraCrypt) antes de subirlos.
👉 Los archivos cifrados con EFS se descifran al sincronizarse con OneDrive y otros servicios de almacenamiento en la nube, incluso en el Almacén Personal. Allí quedan protegidos por la seguridad de OneDrive, pero no por EFS.
Querés tus archivos protegidos como sea y en todo momento?
Si querés que un archivo o carpeta permanezca cifrada incluso al copiarla a FAT32, enviarla por mail, subirla a la nube o hasta cuando te roban el equipo o si extraen el disco e intentaran acceder desde otro dispositivo, necesitás aplicar cifrado portátil.
Te explico las opciones más seguras:
🛡️ Métodos de cifrado portátil
1. Contenedores cifrados (VeraCrypt, Cryptomator)
- Creás un “volumen” cifrado (un archivo grande que funciona como disco virtual).
- Dentro de ese volumen guardás tus archivos.
- El volumen se mantiene cifrado en cualquier medio: pendrive FAT32, correo, nube.
- Solo se abre con la contraseña y el software correspondiente.
- Ventaja: cifrado fuerte (AES, Serpent, Twofish), multiplataforma.
- Ideal para: transportar carpetas completas con máxima seguridad.
2. Archivos comprimidos con contraseña (7-Zip, WinRAR)
- Comprimís la carpeta en un
.7zo.zip. - Activás cifrado AES-256 y protegés con contraseña.
- Ojo! No es lo mismo activar el cifrado que sólo proteger el archivo zip o rar con contraseña. Son opciones diferentes que deberías aprender a usar en el software de comprasión que elijas. Casi todos (hasta Windows) permiten comprimir archivos y ponerles una clave, pero sólo algunos permiten además cifrar el archivo (7-Zip y WinRar por ejemplo). La contraseña simple puede saltearse con aplicaciones sencillas, muy distribuídas e incluso algunas bastante antiguas.
- Cuando se activa el cifrado, el archivo resultante está encriptado y puede enviarse por mail o subir a la nube o copiarse a cualquier medio y permanecerá protegido.
- Ventaja: fácil de usar, no requiere instalación en el receptor si usa software compatible (7-Zip, WinRar, etc…).
- Ideal para compartir archivos individuales o pequeños grupos de documentos.
3. Servicios de nube con cifrado de extremo a extremo
- Ejemplo: Nextcloud con E2EE, Tresorit, Proton Drive.
- Los archivos se cifran antes de salir de tu equipo y solo se descifran en el cliente autorizado.
- Ventaja: no dependés de comprimir manualmente, el cifrado es automático.
- Ideal para: sincronización continua con seguridad garantizada.
📊 Comparación rápida
| Método | Persistencia del cifrado | Facilidad de uso | Seguridad |
|---|---|---|---|
| BitLocker | ❌ No (solo disco local) | Alta | Muy alta en reposo |
| EFS | ❌ No (solo NTFS local) | Media | Alta en NTFS |
| VeraCrypt | ✅ Sí | Media | Muy alta |
| 7-Zip con AES | ✅ Sí | Alta | Alta |
| Nube con E2EE | ✅ Sí | Alta | Muy alta |
🔎 Conclusión
- BitLocker y EFS no sirven para cifrado portátil.
- Para que un archivo o carpeta siga cifrada al copiarla, enviarla o sincronizarla, necesitás usar contenedores cifrados (VeraCrypt), archivos comprimidos con contraseña (7-Zip AES) o nubes con cifrado de extremo a extremo.
- En todos los casos, solo quien tenga la contraseña o clave podrá abrirlos, sin importar el sistema de archivos o el medio de transporte.
Contraseñas de cifrado
El cifrado AES‑256 que utiliza 7‑Zip es considerado seguro y prácticamente inviolable con la tecnología actual. Sin embargo, la verdadera fortaleza depende de la contraseña elegida: una clave débil puede romperse por fuerza bruta o ataques de diccionario, mientras que una contraseña larga y compleja hace que el ataque sea computacionalmente inviable.
🧩 Cómo funciona el cifrado en 7‑Zip
- Algoritmo: 7‑Zip usa AES‑256, un estándar de cifrado reconocido internacionalmente como seguro.
- Protección adicional: combina el cifrado con un proceso de password stretching (repetición de hash) para dificultar ataques automáticos.
- Dependencia de la contraseña: el cifrado es tan fuerte como la clave que lo protege. Una contraseña corta o común puede ser adivinada.
🔎 ¿Es inviolable?
- Fuerza bruta:
- AES‑256 no puede romperse directamente por fuerza bruta; el problema está en usar contraseñas débiles.
- Una contraseña de 8 caracteres simples puede caer en minutos u horas con hardware especializado.
- Una contraseña de 12–16 caracteres aleatorios (mezcla de mayúsculas, minúsculas, números y símbolos) es prácticamente imposible de romper con fuerza bruta en tiempos razonables.
- Ataques más sofisticados:
- GPUs y ASICs pueden acelerar ataques de diccionario, pero siguen limitados por la complejidad de la contraseña.
- No existen vulnerabilidades conocidas en el algoritmo AES‑256 usado por 7‑Zip.
📊 Comparación de escenarios
| Contraseña | Riesgo de ataque | Tiempo estimado de ruptura |
|---|---|---|
| “123456” o “password” | Muy alto | Segundos/minutos |
| 8 caracteres simples | Alto | Horas/días con GPU |
| 12 caracteres complejos | Muy bajo | Miles de años |
| 16+ caracteres aleatorios | Prácticamente inviolable | Más allá de la capacidad tecnológica actual |
🛡️ Tener en cuenta
- Usar contraseñas largas y únicas (mínimo 12 caracteres, ideal 16+).
- Evitar palabras comunes o patrones (ej. nombres, fechas).
- Combinar cifrado con buenas prácticas: doble factor en la nube, no compartir claves por canales inseguros.
- Actualizar software: usar siempre la última versión de 7‑Zip para evitar vulnerabilidades externas.
✅ El cifrado AES‑256 de 7‑Zip es seguro y no puede romperse directamente. Lo único vulnerable es la contraseña: si es débil, el archivo puede abrirse; si es fuerte y compleja, el acceso sin credenciales es inviable con cualquier método actual.
Fuentes útiles:
- RedesZone – Cómo encriptar archivos con 7‑Zip
- Crypto StackExchange – Seguridad de 7‑Zip AES‑256 frente a fuerza bruta
Hasta aquí un ejemplo de cómo una consulta que parece sencilla implica respuestas complejas y con alternativas dependientes del uso y contexto.
Espero sea útil.
Salute!
