← Blog Ciberseguridad

Cómo cifrar un USB en Windows con BitLocker: guía para empresas

Cómo cifrar un USB en Windows con BitLocker: guía para empresas

El coste medio de una brecha de datos alcanzó los 4,88 millones de dólares en 2024, y el 9 % de esas brechas involucró la pérdida o el robo de dispositivos físicos como memorias USB (IBM Cost of a Data Breach Report, 2024). Para cualquier empresa que maneje datos personales o información confidencial, cifrar las unidades USB no es opcional: es una obligación implícita del RGPD y una medida básica de prevención de fugas. En IBERSYA implementamos políticas de cifrado obligatorio de medios extraíbles para nuestros clientes, combinando BitLocker con gestión centralizada mediante Intune o GPO.

Por qué las empresas deben cifrar obligatoriamente los USB

El artículo 32 del Reglamento General de Protección de Datos (RGPD) exige que las organizaciones implementen medidas técnicas apropiadas para garantizar la seguridad de los datos personales. La Agencia Española de Protección de Datos (AEPD) ha sancionado a empresas españolas por no cifrar dispositivos portátiles que contenían datos personales, con multas de hasta 100.000 EUR (resoluciones publicadas en aepd.es, 2023-2024).

Si un empleado pierde un USB sin cifrar que contiene datos de clientes, la empresa está obligada a notificar la brecha a la AEPD en un plazo de 72 horas. Si el USB estaba cifrado con un algoritmo robusto (AES-256, como usa BitLocker), la brecha se considera de riesgo bajo y puede no requerir notificación a los afectados.

Prevención de fugas de datos (DLP)

Según el informe de Verizon DBIR (2024), el 25 % de las brechas de datos tienen un componente interno — empleados que, intencionada o accidentalmente, extraen información en dispositivos USB. El cifrado obligatorio, combinado con políticas de control de dispositivos, es la primera línea de defensa contra la exfiltración de datos.

Cumplimiento de auditorías y certificaciones

Si tu empresa busca certificarse en ISO 27001 o en el Esquema Nacional de Seguridad (ENS), el cifrado de medios extraíbles es un control obligatorio. Los auditores verifican que exista una política de cifrado y que se aplique técnicamente, no solo en un documento.

Cifrar un USB con BitLocker paso a paso

Requisitos previos

  • Windows 10/11 Pro, Enterprise o Education. Las ediciones Home no incluyen BitLocker (ver alternativa más abajo).
  • USB formateado en NTFS, FAT32 o exFAT. BitLocker es compatible con los tres sistemas de archivos.
  • Permisos de administrador en el equipo (o la política de GPO correspondiente).

1. Conectar el USB y abrir BitLocker

Conecta la unidad USB al equipo. Abre el Explorador de archivos, haz clic derecho sobre la unidad USB y selecciona Activar BitLocker. Si la opción no aparece, verifica que tu edición de Windows es Pro o superior.

2. Elegir el método de desbloqueo

Selecciona Usar una contraseña para desbloquear la unidad. Introduce una contraseña robusta: mínimo 12 caracteres, combinando mayúsculas, minúsculas, números y símbolos. Para entornos empresariales, considera usar tarjeta inteligente si tu infraestructura lo soporta.

3. Guardar la clave de recuperación

Windows genera una clave de recuperación de 48 dígitos que permite acceder al USB si se olvida la contraseña. Las opciones son:

  • Guardar en cuenta Microsoft: adecuado para usuarios individuales.
  • Guardar en archivo: almacénalo en un recurso compartido de red seguro, nunca en el propio USB.
  • Guardar en Active Directory / Azure AD: la opción recomendada para empresas. La clave se almacena automáticamente en el objeto del equipo en AD.
  • Imprimir: última opción, almacenar en caja fuerte.

4. Seleccionar el modo de cifrado

  • Cifrar solo el espacio en uso: más rápido, adecuado para USB nuevos o recién formateados. Los datos que se escriban a partir de ahora se cifrarán automáticamente.
  • Cifrar la unidad completa: más seguro para USB que ya contenían datos, ya que cifra también el espacio “vacío” donde podrían quedar restos de archivos eliminados.

5. Elegir el modo de compatibilidad

  • Modo de cifrado nuevo (XTS-AES): más seguro, pero solo funciona en Windows 10 versión 1511 y posteriores. Recomendado para USB que solo se usarán en equipos de la empresa.
  • Modo compatible: usa AES-CBC, compatible con versiones anteriores de Windows. Necesario si el USB se usará en equipos con Windows 7/8.

6. Iniciar el cifrado

Pulsa Iniciar cifrado. El proceso tarda entre 1 minuto (USB de 8 GB vacío) y más de 1 hora (USB de 256 GB con datos). No desconectes el USB durante el proceso — podría corromper los datos.

7. Verificar el cifrado

Desconecta y reconecta el USB. Windows mostrará un diálogo solicitando la contraseña. Introduce la contraseña y verifica que puedes acceder a los archivos normalmente. En el Explorador de archivos, el icono del USB mostrará un candado.

Despliegue empresarial: cifrado obligatorio por GPO

En un entorno con Active Directory, no puedes depender de que cada empleado cifre su USB manualmente. La solución es forzar el cifrado mediante directivas:

Configurar la GPO de BitLocker para medios extraíbles

  1. Abre Administración de directivas de grupo (gpmc.msc).
  2. Crea una nueva GPO: “BitLocker — Medios extraíbles”.
  3. Navega a Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades de datos extraíbles.
  4. Configura las siguientes directivas:
DirectivaConfiguración
Controlar el uso de BitLocker en unidades extraíblesHabilitada
Denegar acceso de escritura a unidades extraíbles no protegidasHabilitada
Elegir cómo se pueden recuperar las unidades extraíblesGuardar en AD DS
Configurar el uso de contraseñas para unidades extraíblesRequerir contraseña, mínimo 12 caracteres

La directiva clave es “Denegar acceso de escritura a unidades extraíbles no protegidas”: impide que los usuarios copien datos a un USB sin cifrar. El sistema les mostrará un mensaje indicando que deben activar BitLocker antes de escribir en la unidad.

Despliegue con Microsoft Intune (para entornos cloud)

Si tu empresa usa Microsoft 365 Business Premium o Intune, puedes crear un perfil de configuración de endpoint:

  1. En el centro de administración de Intune, ve a Dispositivos > Perfiles de configuración.
  2. Crea un perfil de tipo Endpoint Protection > BitLocker.
  3. Activa Cifrado de unidades extraíbles y configura los requisitos de contraseña.
  4. Asigna el perfil al grupo de dispositivos correspondiente.

La ventaja de Intune es que funciona también para equipos no unidos a dominio (trabajadores remotos, portátiles BYOD).

Alternativa sin BitLocker: VeraCrypt

Si tus equipos usan Windows Home o necesitas compatibilidad multiplataforma (macOS, Linux), VeraCrypt es una alternativa gratuita y de código abierto:

  1. Descarga VeraCrypt desde veracrypt.fr (verificar siempre la firma GPG).
  2. Selecciona Crear un volumen > Cifrar partición/unidad no del sistema.
  3. Elige el USB como destino y configura AES-256 como algoritmo.
  4. Establece una contraseña robusta.

La desventaja es que VeraCrypt requiere instalación o modo portable en cada equipo donde se use el USB, lo que lo hace menos práctico para despliegues empresariales grandes.

Política de dispositivos USB: más allá del cifrado

El cifrado es imprescindible, pero una política de seguridad completa para medios extraíbles debe incluir:

  • Inventario de dispositivos autorizados: registra los USB corporativos con su número de serie. Bloquea los no autorizados mediante GPO o soluciones de control de dispositivos.
  • Clasificación de datos: define qué información puede copiarse a USB (datos públicos, internos) y cuál no (datos confidenciales, datos personales de categorías especiales).
  • Registro de uso: activa la auditoría de acceso a dispositivos extraíbles en Windows (Directiva de auditoría > Acceso a objetos > Almacenamiento extraíble).
  • Borrado remoto: soluciones como Microsoft Purview permiten revocar el acceso a archivos cifrados, incluso si el USB ha salido de la empresa.
  • Formación: el 52 % de las brechas de datos tienen un componente de error humano (Verizon DBIR, 2024). Forma a tus empleados sobre el uso seguro de USB.

Cómo IBERSYA implementa el cifrado USB en sus clientes

En IBERSYA abordamos el cifrado de medios extraíbles como parte de un plan de seguridad integral:

  • Auditoría inicial: identificamos qué departamentos usan USB, con qué frecuencia y para qué tipo de datos.
  • Despliegue de BitLocker por GPO/Intune: configuramos las directivas para que el cifrado sea obligatorio y transparente para el usuario.
  • Custodia de claves de recuperación: las claves se almacenan en Active Directory o Azure AD, accesibles solo para el departamento de IT.
  • Monitorización: configuramos alertas en Zabbix y en los logs de Windows para detectar intentos de uso de USB no cifrados o no autorizados.
  • Formación al equipo: sesión práctica de 1 hora para que los empleados entiendan por qué se cifran los USB y cómo usarlos en su día a día.

Problemas frecuentes y solución

  • No aparece la opción de BitLocker al hacer clic derecho: verifica que usas Windows Pro o Enterprise. En ediciones Home, usa VeraCrypt. Si usas Pro y no aparece, ejecuta manage-bde -status en PowerShell para comprobar el estado del servicio BitLocker.
  • Olvidé la contraseña: usa la clave de recuperación de 48 dígitos. Si se almacenó en AD, el administrador de IT puede recuperarla desde Usuarios y equipos de Active Directory > propiedades del equipo > pestaña BitLocker Recovery.
  • El cifrado tarda demasiado: en USB grandes (128-256 GB) con datos existentes, el cifrado completo puede tardar más de 1 hora. Usa “Cifrar solo el espacio en uso” para USB nuevos. Asegúrate de usar un puerto USB 3.0.
  • El USB no funciona en macOS: BitLocker no es compatible nativamente con macOS. Instala una herramienta como M3 BitLocker Loader o usa VeraCrypt si necesitas compatibilidad multiplataforma.
  • La GPO no se aplica: ejecuta gpresult /r para verificar que la GPO está vinculada correctamente. Comprueba que no hay otra GPO con prioridad superior que la sobreescriba.

Preguntas frecuentes

¿Qué ocurre si un empleado pierde un USB cifrado con BitLocker? Los datos son inaccesibles sin la contraseña o la clave de recuperación. A efectos del RGPD, si el cifrado es AES-256, la AEPD considera que el riesgo para los afectados es bajo, lo que simplifica el proceso de notificación de la brecha.

¿Puedo cifrar discos duros externos con BitLocker? Sí, BitLocker To Go funciona con cualquier unidad extraíble: USB, discos duros externos y tarjetas SD. El proceso es idéntico.

¿El cifrado afecta al rendimiento del USB? El impacto es mínimo en unidades USB 3.0 o superiores: menos del 5 % de reducción en velocidad de lectura/escritura (Microsoft, documentación de BitLocker). En USB 2.0 la penalización es mayor, pero estos dispositivos ya están obsoletos para uso profesional.

¿Puedo automatizar el cifrado para que sea transparente al usuario? Sí, con la GPO “Denegar acceso de escritura a unidades no protegidas” combinada con la activación automática de BitLocker, el usuario simplemente establece una contraseña cuando conecta un USB nuevo. Todo lo demás es automático.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.