Solución a BitLocker al desactivar el arranque seguro

  • BitLocker se activa a menudo por defecto y al cambiar Secure Boot, TPM o la BIOS puede entrar en modo de recuperación y pedir la clave.
  • Suspender BitLocker antes de actualizar firmware o tocar el arranque y conservar la clave de recuperación son las mejores medidas preventivas.
  • Si aparece la pantalla de recuperación, se puede salir usando la clave, el símbolo del sistema, ajustando Secure Boot o restaurando claves y PCR.
  • Sin la clave de BitLocker no hay forma fiable de descifrar la unidad, por lo que guardarla bien es esencial para no perder los datos.
Alberto Navarro

15 minutos

Pantalla de recuperación de BitLocker en Windows

Cuando intentas arrancar un sistema Linux desde un USB, por ejemplo Ubuntu con Ventoy y persistencia, es bastante habitual que tengas que desactivar el arranque seguro (Secure Boot) en la BIOS para evitar el temido mensaje de “security violation”. El problema viene después: arrancas de nuevo Windows 10 u 11 y, de repente, te aparece la pantalla azul de recuperación de BitLocker pidiendo una clave de 48 dígitos. Ahí empieza el susto, sobre todo si nunca activaste BitLocker de forma consciente.

Este comportamiento no es un fallo puntual: forma parte de cómo Windows, el firmware UEFI, el TPM y BitLocker protegen el arranque y detectan cualquier cambio en la configuración de seguridad, como apagar Secure Boot, tocar la BIOS, actualizar el firmware o cambiar ciertos parámetros de PCR. En este artículo vamos a ver, con calma y paso a paso, por qué BitLocker pide la clave al desactivar el arranque seguro, qué relación tiene con el hardware (TPM, UEFI, Surface, portátiles Asus, Dell…) y todas las formas prácticas de solucionarlo o al menos minimizar el riesgo de perder acceso a tus datos.

Qué es BitLocker y por qué salta la pantalla de recuperación

BitLocker es el sistema de cifrado de disco integrado en Windows (pro y versiones afines) y también la base del “Cifrado de dispositivo” en muchas ediciones Home. Cifra la unidad completa y almacena de forma segura las claves en el TPM (Trusted Platform Module) y en otros “protectores” (PIN, contraseña, clave de recuperación), comprobando en cada arranque que nada crítico ha cambiado.

Cuando se produce una modificación relevante en el entorno de arranque, BitLocker entra en lo que se llama modo de recuperación. En lugar de arrancar Windows directamente, muestra la pantalla azul pidiendo la clave de 48 dígitos. Es el mismo síntoma para muchas causas distintas, así que es clave entender qué puede haber cambiado.

Algunas de las causas más frecuentes de que aparezca la pantalla de recuperación de BitLocker son:

  • Cambios en la BIOS/UEFI: desactivar o activar Secure Boot, cambiar el modo de arranque (UEFI/Legacy), tocar el orden de arranque, activar/desactivar TPM, etc.
  • Actualización de firmware de TPM o del sistema: muy habitual en dispositivos Surface, portátiles modernos y equipos de marca cuando se instalan drivers de firmware desde Windows Update.
  • Configuración de PCR no estándar: si se ha cambiado, normalmente por directiva de grupo, qué registros PCR usa BitLocker para validar el arranque.
  • Contraseña incorrecta demasiadas veces o problemas con el desbloqueo automático de la unidad.
  • BIOS desactualizada o con fallos que provoca inconsistencias en las mediciones de arranque.
  • Alteraciones del menú de arranque (por ejemplo, uso de arranque gráfico nuevo en lugar de Legacy) que cambian cómo se mide el arranque.

Si lo miras desde el punto de vista de seguridad, BitLocker está haciendo su trabajo: cualquier cambio sospechoso obliga a probar que eres tú con la clave de recuperación. El problema es que muchas veces el usuario no sabe ni que BitLocker está activado.

Relación entre Secure Boot, TPM, PCR y BitLocker

Configuración de Secure Boot en BIOS UEFI

Para entender por qué desactivar el arranque seguro desencadena BitLocker Recovery, hay que fijarse en cómo se enlaza el arranque con el cifrado. BitLocker usa el TPM para almacenar claves de forma sellada a un estado concreto de la plataforma. Ese “estado” se mide en unos registros llamados PCR (Platform Configuration Registers).

Por defecto, en muchos equipos modernos BitLocker utiliza PCR 7 y PCR 11 para comprobar la integridad del proceso de arranque. PCR 7 suele estar ligado precisamente a la configuración de Secure Boot y firma del firmware. Si desactivas Secure Boot, cambias esas mediciones y el TPM considera que el entorno ya no es el esperado.

En algunos escenarios avanzados, las empresas o el propio sistema pueden configurar BitLocker para que use otras combinaciones de PCR diferentes (por ejemplo, añadiendo mediciones del firmware UEFI, del gestor de arranque, etc.). Eso hace que cualquier actualización de firmware, cambio de modo de arranque o alteración en la configuración de seguridad salte las alarmas de BitLocker.

Esto se ve muy claro en dispositivos como Surface Pro, Surface Book, Surface Laptop o Surface Studio, donde Microsoft ha documentado escenarios en los que, tras actualizar el firmware TPM o la UEFI, la máquina entra en un bucle de:

  • Pantalla pidiendo la clave de recuperación aunque la introduces bien.
  • Arranque directo a la configuración de Surface UEFI sin pasar por Windows.
  • Bucle infinito de reinicios sin llegar al escritorio.

En estos casos, la combinación de BitLocker + TPM + Secure Boot + firmware actualizado hace que los valores medidos en los PCR no coincidan con los sellados originalmente, y el equipo sólo confía ya en la clave de recuperación.

Por qué BitLocker se activa “solo” en muchos equipos nuevos

Mucha gente se lleva un disgusto cuando enciende su portátil después de un tiempo sin usarlo y ve que BitLocker está pidiendo una clave de recuperación que jamás guardó. El enfado con Microsoft es comprensible, sobre todo cuando se trata de cuentas locales (offline) y no hay copia de la clave en la nube.

En muchos portátiles modernos con Windows 10 u 11, especialmente en modelos de marcas como Asus, Dell, Lenovo, HP, Surface y similares, el fabricante y Microsoft activan por defecto el “Cifrado de dispositivo” o directamente BitLocker, siempre que el hardware cumpla ciertos requisitos (TPM 2.0, arranque UEFI, Secure Boot, etc.).

Con una cuenta Microsoft, la clave de recuperación suele copiarse automáticamente en la nube (portal de la cuenta Microsoft, enlace tipo aka.ms/recoverykey). El problema grave llega cuando el usuario eligió una cuenta local sin sincronizar nada con Microsoft, nunca vio un aviso claro para guardar la clave y ahora no tiene dónde buscarla.

Técnicamente, el cifrado está ahí para proteger tus datos si te roban el portátil o el disco. Pero en la práctica, si cambias la BIOS (por ejemplo, desactivando Secure Boot para arrancar Linux) y no tienes la clave guardada, BitLocker te deja fuera exactamente igual que a un ladrón. Y en muchos casos no hay solución mágica sin esa clave.

Cómo activar o desactivar el arranque seguro en BIOS/UEFI

Opciones de BIOS para Secure Boot

Antes de tocar nada que pueda disparar BitLocker, conviene tener claro cómo se maneja Secure Boot en la BIOS/UEFI, ya que su estado suele ser el origen de muchos de estos líos. Los pasos concretos cambian según el fabricante, pero hay patrones comunes.

En portátiles, AIO y consolas de juego (por ejemplo, Asus), lo típico es:

  • Con el equipo apagado, mantener pulsada la tecla F2 y pulsar el botón de encendido para entrar en BIOS.
  • Pasar al modo avanzado (tecla F7) si primero te sale una interfaz simplificada.
  • Ir a la pestaña Seguridad y buscar Arranque seguro / Secure Boot.
  • Ajustar el Control de arranque seguro a “Habilitado” o “Deshabilitado”.
  • Guardar cambios y salir con F10.

En sobremesas, la ruta se parece bastante, aunque a veces se gestiona con la opción Tipo de SO:

  • Entrar en BIOS con F2 o Supr, según modelo.
  • Pulsar F7 para modo avanzado.
  • Abrir la pestaña Arranque (Boot) y seleccionar Arranque seguro.
  • Cambiar Tipo de SO a “Windows UEFI mode” para activar Secure Boot, u “Otro SO” para desactivarlo.
  • Guardar con F10.

En algunos equipos, especialmente cuando Secure Boot aparece en gris e “inactivo”, hay que restablecer las claves de Secure Boot para que vuelva a funcionar:

  • Entrar en la sección de Key Management (Gestión de claves) dentro de Secure Boot.
  • Elegir Reset To Setup Mode o Clear Secure Boot Keys para vaciar las bases de datos de claves.
  • Luego usar Restore Factory Keys o Install Default Secure Boot Keys para restaurar las claves de fábrica.
  • Guardar cambios y salir con F10.

Los fabricantes avisan —y con razón— de que tocar el arranque seguro o el TPM cuando la unidad está cifrada con BitLocker puede hacer que Windows te pida la clave de recuperación. Por tanto, es vital plantearse estas acciones con cabeza y no a lo loco.

Buenas prácticas antes de actualizar firmware o tocar la BIOS

Actualización de firmware y BitLocker

Si ya sabes que tu equipo tiene BitLocker o Cifrado de dispositivo activo, hay una medida preventiva clave: suspender temporalmente BitLocker antes de actualizar firmware (TPM, UEFI) o cambiar ajustes de arranque. Esto minimiza la probabilidad de que, tras la actualización, las mediciones PCR cambien de forma inesperada.

En dispositivos Surface, Microsoft recomienda explícitamente usar PowerShell con permisos de administrador para pausar la protección:

  1. Abrir PowerShell como administrador.
  2. Ejecutar:
    Suspend-BitLocker -MountPoint "C:" -RebootCount 0
  3. Instalar las actualizaciones de firmware de Surface (TPM, UEFI, controladores…).
  4. Al terminar todo y arrancar correctamente, reanudar la protección con:
    Resume-BitLocker -MountPoint "C:"

Además, es muy recomendable devolver Secure Boot a su estado recomendado (activado y con claves de fábrica) y restaurar los valores PCR por defecto si se habían modificado mediante directivas de grupo. De lo contrario, cada futura actualización del firmware puede volver a mandar al equipo a la pantalla de recuperación.

En entornos empresariales, donde se toquetean más las directivas, también es buena idea revisar qué PCR se están usando para BitLocker. Si se han configurado valores custom, lo prudente puede ser deshacer esas directivas, suspender BitLocker, reiniciar y reanudar para que el sistema vuelva a usar la configuración estándar menos propensa a sustos.

Métodos para salir de la pantalla de recuperación de BitLocker

Cuando ya te encuentras con la pantalla azul pidiendo la clave, hay varias vías de salida según la información que tengas y el origen del problema. Vamos de las más limpias a las más drásticas.

1. Localizar y usar la clave de recuperación de BitLocker

La forma más directa de superar la pantalla de recuperación es introducir la clave de recuperación numérica de 48 dígitos. El reto, claro, es encontrarla. Dependiendo de cómo se configuró BitLocker, la clave puede estar:

  • En tu cuenta Microsoft online (enlace del tipo aka.ms/recoverykey).
  • Impreso en papel o guardado en PDF en algún lugar seguro.
  • En Active Directory o Azure AD, si tu equipo forma parte de un dominio.
  • En un USB o archivo .txt que se generó al activar BitLocker.

Si estás en la pantalla de recuperación y no sabes qué clave necesitas exactamente, puedes pulsar Esc para ver más opciones: Windows mostrará un ID de clave de recuperación. Ese identificador sirve para que el administrador (o tú mismo, si tienes acceso al portal adecuado) localice la clave correcta en AD, Azure AD o la cuenta Microsoft.

2. Desactivar BitLocker desde el símbolo del sistema (si tienes la clave)

Cuando sí tienes la clave, una buena estrategia es desbloquear la unidad desde las opciones avanzadas e inhabilitar temporalmente los protectores para que deje de pedirla en cada arranque:

  1. En la pantalla de recuperación, pulsa Esc y elige Omitir esta unidad.
  2. Ve a Solucionar problemas > Opciones avanzadas > Símbolo del sistema.
  3. En el símbolo del sistema, ejecuta:
    manage-bde -unlock X: -rp CLAVE_RECUPERACION
    Sustituye X: por la letra de la unidad cifrada (normalmente C:) y CLAVE_RECUPERACION por los 48 dígitos.
  4. Después, deshabilita los protectores:
    manage-bde -protectors -disable X:
  5. Reinicia el equipo para comprobar si ya arranca sin pedir la clave.

Más adelante podrás volver a habilitar los protectores desde Windows para no quedarte permanentemente sin protección, pero así evitas el bucle de recuperación mientras terminas de ajustar BIOS, Secure Boot, etc.

3. Cambiar el tipo de menú de arranque (Legacy vs gráfico)

En algunas instalaciones de Windows 10, el nuevo menú de arranque gráfico puede causar conflictos con BitLocker y llevarte una y otra vez a la pantalla de recuperación. Activar la política de arranque “Legacy” a través de bcdedit ha solucionado el problema a más de uno:

  1. Abrir el Símbolo del sistema como administrador desde Windows (si todavía consigues iniciar) o desde las opciones avanzadas.
  2. Ejecutar:
    bcdedit /set {default} bootmenupolicy legacy

Con esto fuerzas a Windows a usar un menú de arranque más clásico, que en algunos entornos es más compatible con BitLocker y reduce la aparición de la pantalla de recuperación en cada reinicio.

4. Desactivar el desbloqueo automático en unidades cifradas

Otra fuente curiosa de problemas es el desbloqueo automático de unidades BitLocker, especialmente para unidades de datos que dependen de la unidad del sistema. Cuando algo cambia en el arranque, ese desbloqueo automatizado se puede atascar y forzar la recuperación.

Para revisar esta configuración desde Windows (cuando consigas entrar):

  1. Abrir el Panel de control clásico.
  2. Ir a Sistema y seguridad > Cifrado de unidad BitLocker.
  3. Localizar la unidad en cuestión y usar la opción Desactivar desbloqueo automático.

Al volver a un manejo más manual de la unidad cifrada, sueles evitar que BitLocker se líe con credenciales o estados heredados de arranques anteriores.

5. Actualizar la BIOS/UEFI del fabricante

Una BIOS o UEFI desactualizada puede tener fallos en la forma de medir el arranque y en el soporte de TPM/Secure Boot, lo que a su vez puede disparar la recuperación de BitLocker. En estos casos, instalar la versión de firmware más reciente suele ser una buena idea, siempre que antes suspendas BitLocker.

El proceso general suele ser:

  1. Visitar la web de soporte del fabricante (Dell, Asus, HP, etc.).
  2. Buscar tu modelo y entrar en la sección de descargas de BIOS y firmware.
  3. Descargar la última versión estable de la BIOS.
  4. Descomprimir el archivo y copiarlo a un USB formateado en FAT32, si tu placa base usa BIOS Flashback o método similar.
  5. Con el PC apagado pero enchufado, insertar el USB en el puerto específico de BIOS (si existe).
  6. Pulsar el botón de Flashback de BIOS y esperar a que el proceso termine (la luz deja de parpadear).

Es crucial que este tipo de actualización se haga con BitLocker suspendido previamente, para que el cambio de firmware no se interprete como un ataque y obligue a introducir la clave en cada arranque posterior.

6. Habilitar de nuevo Secure Boot o devolverlo a valores de fábrica

Si el origen del problema fue desactivar Secure Boot para poder arrancar Ubuntu desde un USB (o cualquier otro sistema), una vez que hayas terminado lo que tenías que hacer, suele ser buena idea reactivar Secure Boot y restaurar las claves. Eso ayuda a que el TPM vuelva a medir un entorno conocido y reduzca la necesidad de recuperación.

Si Secure Boot aparece en gris y no te deja activarlo, en muchas BIOS hay que:

  • Activar Secure Boot Control y reiniciar.
  • Entrar en Key Management y usar Reset To Setup Mode para limpiar las bases de datos.
  • Después elegir Restore Factory Keys o Install Default Secure Boot Keys.
  • Guardar y salir; el estado de Secure Boot se actualizará tras el reinicio.

En algunos modelos de sobremesa, además, hay que establecer Secure Boot Mode en “Custom” antes de limpiar e instalar las claves de nuevo. El objetivo final es que el equipo vuelva a tener un conjunto de claves válido que permita verificar el arranque firmado.

7. Quitar temporalmente los protectores de la unidad de arranque (Surface y similares)

En escenarios extremos, como algunos Surface que han quedado bloqueados tras una actualización de TPM o UEFI, Microsoft propone una solución basada en usar una unidad USB de recuperación de Surface y la clave de BitLocker para eliminar los protectores de la unidad del sistema.

  1. Obtener la clave de recuperación de BitLocker desde la cuenta Microsoft o a través del administrador (MBAM, Intune, etc.).
  2. En otro PC, descargar la imagen de recuperación de Surface desde la web oficial y crear una unidad USB de recuperación.
  3. Arrancar el dispositivo Surface desde ese USB.
  4. Elegir idioma y distribución de teclado.
  5. Ir a Solucionar problemas > Opciones avanzadas > Símbolo del sistema.
  6. Ejecutar:
    manage-bde -unlock C: -recoverypassword CLAVE
    manage-bde -protectors -disable C:
  7. Reiniciar el dispositivo y, cuando lo pida, introducir de nuevo la clave de recuperación.

Con esto, el equipo debería poder arrancar sin quedarse atascado en el bucle de recuperación. Más adelante se puede volver a configurar BitLocker y los protectores de forma controlada.

8. Recuperar datos y reinstalar Windows como último recurso

Si ni siquiera con la clave de recuperación logras que el sistema arranque estable, o si la instalación de Windows está dañada, siempre queda la opción de rescatar los datos y reinstalar desde cero. Eso sí: para recuperar los datos necesitas la clave de BitLocker, de lo contrario el cifrado es irrompible en la práctica.

Un flujo típico sería:

  1. Conseguir la clave de recuperación.
  2. Crear un USB de recuperación o instalación de Windows.
  3. Arrancar desde el USB y abrir el Símbolo del sistema.
  4. Desbloquear la unidad cifrada:
    manage-bde -unlock C: -recoverypassword CLAVE
  5. Usar comandos como copy o xcopy para copiar tus datos a otra unidad externa.
  6. Una vez salvados los datos, formatear la unidad y reinstalar Windows desde el propio asistente.

Hay herramientas de recuperación de datos (tipo Recoverit y similares) que pueden ayudarte después de formatear, pero su eficacia es muy limitada si no conoces la clave de BitLocker. Lo realmente decisivo para salvar la información es haber guardado esa clave a tiempo.

Toda esta combinación de BitLocker, Secure Boot, TPM y BIOS modernas está pensada para que un atacante no pueda leer tu disco aunque tenga acceso físico al equipo. El reverso de la moneda es que, si tocas el arranque sin prepararlo ni sabes dónde está tu clave de recuperación, tú mismo puedes acabar siendo el que se quede bloqueado fuera de sus propios datos, así que merece la pena tomárselo en serio y guardar esa clave como oro en paño.

Artículo relacionado:
Encontrar la clave de recuperación de Bitlocker