Qué diferencias hay entre el cifrado de BitLocker y EFS en Windows

Qué diferencias hay entre el cifrado de BitLocker y EFS en Windows

José Antonio Lorenzo

Generalmente consideramos que los archivos almacenados en nuestros discos duros están seguros. En ese aspecto creemos que están protegidos por la contraseña de inicio de sesión. No obstante, eso no es realmente así, ya que si nos roban el ordenador o el disco duro podrían estar en peligro. Así, por ejemplo, retirando ese disco duro y conectándolo a otro equipo podría ver el contenido que tenemos almacenado allí. Si queremos que esto no suceda deberemos configurar el cifrado de los archivos para que se mantengan a salvo. Una de las herramientas gratuitas que podemos utilizar para esta tarea es VeraCrypt, aunque hay que señalar que Windows también tiene dos sistemas de cifrado nativos. En este tutorial vamos a hablar sobre qué diferencias hay entre el cifrado en Windows de BitLocker y EFS.

En los sistemas operativos de Microsoft, por lo general, las funciones de cifrado solo están disponibles para las versiones profesionales, en este caso nos referimos a versiones como la Pro e Enterprise. Así, en el caso de contar con una versión Home, aunque no podremos cifrar las unidades sí podremos descifrarlas y acceder a los datos que hayan sido cifradas anteriormente.

Los sistemas operativos más recientes de Microsoft como Windows 7, 8.1, 10 y 11 y Windows Server 2008 en adelante poseen dos tipos de cifrado diferentes. Uno es el EFS, un sistema de cifrado que puede cifrar tanto archivos individuales como carpetas dentro del disco duro. El otro es BitLocker, y se trata de un software capaz de cifrar toda una unidad para impedir que los usuarios no autorizados puedan acceder a los datos que contengan. Ahora vamos a ir conociendo estas dos formas de cifrado en Windows que tenemos disponibles.

El sistema de cifrado EFS en Windows

EFS viene de las siglas en inglés Encrypting File System que traducido significa sistema de cifrado de archivos. Esta función se introdujo desde la versión NTFS 3.0 y la vimos por primera vez en Windows 2000. Lo que hace es permitir a los archivos ser cifrados en las particiones NTFS para proteger datos confidenciales y también hay que señalar que EFS es incompatible con la compresión de carpetas. En resumen, EFS es una forma rápida de cifrar archivos y carpetas. También hay que señalar que hay que estar muy atentos a la hora de cifrar esos archivos y carpetas porque sólo los que seleccionemos manualmente en ese momento van a ser cifrados. Si añadimos uno posteriormente no va ser cifrado.

Una cuestión importante es que el cifrado de EFS va a estar vinculado a una cuenta de usuario. Esto significa que los datos cifrados únicamente serán accesibles para ese usuario y para el resto estarán bloqueados. También hay que señalar que el cifrado es transparente, eso quiere decir que si un usuario no autorizado accede a esa cuenta que hemos utilizado para cifrar esos datos, estos estarán totalmente disponibles para él, sin ni siquiera necesitar una contraseña.

Otra cosa a tener en cuenta, es que la clave de cifrado EFS en Windows se guarda en el propio sistema operativo en vez de utilizar el módulo TPM (Trusted Platform Module) del hardware. Esto puede permitir que un ciberdelincuente con los conocimientos necesarios pueda extraer dicha clave para acceder a esos archivos cifrados. Por otra parte, si ese archivo en un determinado momento estuviese en una caché temporal, en otra parte del disco u otra unidad también podría caer en manos del atacante.

Cómo cifrar archivos con EFS en Windows

El cifrado en Windows con EFS es muy sencillo ya que no necesitas instalar nada ni configurar nada para utilizarlo. Pongamos que queremos cifrar nuestra carpeta REDESZONE. Entonces haremos clic sobre ella desde el explorador de archivos y con el botón derecho iremos a Propiedades. Luego en la pestaña General iremos a Opciones avanzadas.

Aquí lo que tenemos que hacer es habilitar la casilla Cifrar contenido para proteger datos y luego pulsar en Aceptar.

Después pulsamos en Aplicar y nos preguntará si queremos cifrar esa carpeta o la carpeta, subcarpetas y todos los archivos. Para mayor seguridad configuraremos así y pulsaremos en Aceptar.

BitLocker en un sistema operativo de Microsoft

El programa de cifrado en Windows BitLocker nos va a proporcionar un cifrado de disco para volúmenes completos. En resumen su característica principal es que con este software se va a realizar el cifrado de unidades completas. Para realizar este trabajo de cifrado, BitLocker va a utilizar un algoritmo de cifrado estándar AES en modo CBC con una clave de 128 bits. No obstante, también se puede configurar una longitud de clave de 256 bits y configurarlo con el modo XTS que es más seguro.

Gracias a este cifrado en Windows vamos a poder proteger una unidad completa, un disco duro o un medio de almacenamiento extraíble y evitar que usuarios no autorizados accedan tanto a los datos que ya teníamos en la unidad cuando realizamos el cifrado como a los datos que copiemos a ella después. Una de las ventajas que nos aporta BitLocker es que no tenemos que estar pendientes de habilitar el cifrado manualmente en los nuevos archivos que vayamos copiando a la unidad. Además esta herramienta cifra por completo toda la unidad y ningún usuario podrá acceder a ella sin la correspondiente contraseña de desbloqueo.

Cómo activar BitLocker en Windows

Si queremos activar el cifrado en Windows 10 de BitLocker seguiremos estos pasos:

  1. Vamos al Menú de inicio de Windows.
  2. Panel de control.
  3. Hacemos clic en Sistema y seguridad, y seguidamente, en Cifrado de unidad BitLocker, selecciona Administrar BitLocker.

Entonces veremos una pantalla como esta y las unidades que podremos cifrar con BitLocker:

Aquí se pueden apreciar todas las particiones que tenemos disponibles y que podría cifrar con BitLocker. Además, como también se puede observar abajo si insertamos una unidad extraíble como una memoria USB también la podemos cifrar. Se trata de una buena opción por si un día se pierde un medio de almacenamiento extraíble con datos confidenciales.

En este caso, lo que hay que hacer es elegir una de las particiones haciendo clic en Activar BitLocker y seguir las instrucciones.

BitLocker o EFS, ¿cuál me conviene usar?

Sin lugar a dudas el mejor cifrado en Windows que podemos utilizar es BitLocker. Gracias a él  se va a encargar de cifrar el disco duro completo, por lo que activándolo ya podemos olvidarnos de todo lo demás. A partir de ese momento todos nuestros datos tanto antiguos como nuevos, se cifrarán automáticamente. En ese aspecto nos ofrece la ventaja que no tendremos que estar pendientes de comprobar si un archivo se ha cifrado o no. Además BitLocker es más recomendable porque utiliza algoritmos más seguros.

Por contra, EFS está especializado en el cifrado de los datos en concreto que seleccionamos. Las ventajas que nos aporta es que es más rápida y consume menos recursos que la anterior. No obstante los algoritmos no son tan seguros como los de BitLocker y tenemos que estar muy atentos a que hemos seleccionado los archivos correctamente.

Entonces nos preguntamos por qué existiendo BitLocker que es superior no se queda como único método de cifrado. La respuesta sería que EFS sigue existiendo por compatibilidad y porque consume menos recursos. No obstante, con ordenadores relativamente recientes la diferencia es inapreciable y sólo afecta a ordenadores antiguos. Por último, el cifrado en Windows que deberíamos usar es BitLocker y si no tenemos una versión de un sistema operativo profesional de Microsoft entonces podemos recurrir a VeraCrypt.

¡Sé el primero en comentar!