En 2024, según información publicada por Forbes, Microsoft proporcionó a las autoridades las claves de recuperación de BitLocker para desbloquear varios portátiles con Windows incautados en Guam durante una investigación por fraude de prestaciones por desempleo relacionadas con la pandemia de COVID‑19. Es el primer caso conocido públicamente en el que la empresa facilita claves que protegen discos cifrados de usuarios, y reabre el debate sobre hasta qué punto el cifrado por defecto de Windows garantiza la confidencialidad frente a gobiernos y terceros.
Caso Guam: cifrado BitLocker, investigación penal y acceso a los datos
El caso se centra en una trama de presunto fraude masivo de ayudas al desempleo. Durante los registros, los investigadores se incautaron de portátiles protegidos con BitLocker, la tecnología de cifrado de disco nativa de Windows. Sin la clave de recuperación, el acceso a la información es, en la práctica, inviable sin recurrir a costosos intentos de ruptura criptográfica con pocas probabilidades de éxito.
De acuerdo con Forbes, en lugar de intentar vulnerar el cifrado, los investigadores se apoyaron en mecanismos legales. Microsoft entregó las claves de recuperación de BitLocker que habían sido previamente guardadas en su infraestructura en la nube cuando los usuarios activaron el cifrado vinculándolo a su cuenta de Microsoft. Esto demuestra que, bajo ciertas configuraciones, el proveedor del sistema operativo puede facilitar acceso estatal a datos cifrados, sin romper el algoritmo, simplemente usando el canal de recuperación previsto.
Cómo funciona el cifrado en Windows: BitLocker y Device Encryption
Windows implementa el cifrado de disco principalmente de dos formas: Device Encryption, presente en muchos equipos de consumo, y BitLocker Drive Encryption, orientado a entornos corporativos y ediciones profesionales del sistema. En ambos casos se cifra todo el volumen usando claves simétricas, gestionadas y liberadas mediante el chip TPM, PIN, contraseña o asociación a una cuenta de Microsoft.
El elemento crítico es el manejo del BitLocker recovery key. Cuando el usuario activa el cifrado con una cuenta Microsoft, el asistente propone por defecto guardar esa clave de recuperación en la nube. El resultado es que una copia queda almacenada en los servidores de Microsoft, asociada al perfil del usuario, desde donde puede recuperarse vía web si se olvida la contraseña del equipo.
Existen alternativas: guardar la clave en un archivo local, en un USB o imprimirla en papel. Sin embargo, la interfaz de Windows impulsa claramente el uso de la opción en la nube como la vía más “cómoda”. Desde la perspectiva de ciberseguridad, esto supone un trade‑off clásico: se gana facilidad de recuperación a costa de ceder control exclusivo sobre el acceso a los datos cifrados.
Comparación con Apple: FileVault, iCloud y cifrado de extremo a extremo
Apple aplica un modelo similar con FileVault y iCloud, aunque separando con más rigor los distintos tipos de datos. En el modo estándar, la compañía conserva claves para gran parte de la información almacenada en iCloud, lo que le permite responder a requerimientos judiciales, con excepciones relevantes como contraseñas o elementos del llavero.
Cuando el usuario activa el cifrado de extremo a extremo ampliado, las claves de muchos datos permanecen únicamente en los dispositivos del cliente. Apple documenta de forma explícita para fuerzas del orden que no dispone de las claves necesarias para descifrar ese contenido, por lo que no puede entregarlo aunque exista orden judicial.
La diferencia clave frente a BitLocker es que, al almacenar en la nube las claves de recuperación de disco completo, Microsoft conserva la capacidad técnica de proporcionar al Estado el material criptográfico que protege todo el volumen si el usuario aceptó esa configuración durante la instalación.
Solicitudes gubernamentales y postura oficial de Microsoft
En su guía para autoridades, Microsoft subraya que no crea puertas traseras ni entrega sus propias claves maestras y que no debilita intencionadamente sus sistemas criptográficos. No obstante, reconoce que “en la mayoría de los casos almacena de forma segura las claves de cifrado de los clientes por defecto”, porque muchas organizaciones prefieren minimizar el riesgo de perder acceso a su información.
Según el último informe de transparencia sobre solicitudes gubernamentales (julio–diciembre de 2024), la compañía recibió 128 requerimientos de diferentes países, 77 de ellos procedentes de Estados Unidos. Únicamente cuatro derivaron en entrega de datos: tres en Brasil y uno en Canadá. Aunque estadísticamente se trata de una fracción pequeña, el precedente de Guam confirma que la opción de acceso mediante claves en la nube existe y se utiliza.
Recomendaciones prácticas para configurar BitLocker con mayor seguridad
1. Definir una modelo de amenazas realista. Si la prioridad es protegerse frente al robo físico del dispositivo y delincuentes comunes, almacenar la clave de recuperación de BitLocker en la nube puede ser un compromiso razonable. Si también se desea resistencia frente a requerimientos estatales o a jurisdicciones extranjeras, las claves no deberían alojarse en servicios del proveedor.
2. Mantener las claves de recuperación bajo control local. Al habilitar BitLocker, resulta recomendable guardar la clave en un USB dedicado, en un archivo cifrado o en un repositorio seguro offline, en lugar de asociarla a la cuenta de Microsoft. En entornos corporativos, es preferible usar soluciones de key management internas (por ejemplo, Active Directory o gestores de claves especializados) antes que delegar en nubes de terceros sin una necesidad clara.
3. Revisar la configuración actual de los equipos Windows. Es conveniente acceder al portal de la cuenta Microsoft y comprobar si existen claves de recuperación de BitLocker almacenadas automáticamente. Si se considera inaceptable ese riesgo, puede eliminarse esa copia y reconfigurar el cifrado con políticas alineadas con la estrategia de seguridad de la organización.
4. Fortalecer PIN, contraseñas y autenticación al cifrado. Con independencia de dónde se guarden las claves, es esencial usar contraseñas robustas, PIN complejos y configuraciones recomendadas por estándares como las guías de NIST para protección de datos en reposo, combinando TPM+PIN cuando sea posible.
El caso BitLocker en Guam ilustra una realidad fundamental: la solidez del cifrado no depende solo del algoritmo, sino de quién controla las claves. Usuarios avanzados, administradores y responsables de seguridad deberían revisar sus políticas de cifrado de disco, evitar aceptar las opciones por defecto sin análisis previo y diseñar una gestión de claves coherente con su modelo de amenazas. Invertir tiempo hoy en entender y configurar correctamente BitLocker y tecnologías equivalentes reduce de forma significativa el riesgo de incidentes futuros, tanto frente a atacantes como en escenarios de interacción con autoridades.
