Recuperar datos de disco cifrado con BitLocker o VeraCrypt
El cifrado de disco completo es una de las mejores medidas de seguridad para proteger datos confidenciales. Sin embargo, cuando falla el disco o se pierde acceso a las claves de cifrado, la recuperación de datos se convierte en un proceso que combina recuperación clásica con criptografía. En RecuperaTusDatos.es atendemos casos de discos cifrados con BitLocker, VeraCrypt y TrueCrypt con cierta frecuencia. Esta guía explica qué es recuperable, qué no lo es, y qué pasos seguir.
BitLocker: recuperación con clave disponible
Si dispone de la clave de recuperación de BitLocker (un código de 48 dígitos), la recuperación de datos es técnicamente similar a la de cualquier otro disco: se trabaja sobre la imagen del disco cifrado, se descifra con la clave y se extrae el sistema de archivos NTFS subyacente.
¿Dónde encontrar la clave de recuperación de BitLocker?
- Cuenta Microsoft: si el dispositivo se configuró con una cuenta Microsoft, la clave se guarda automáticamente en account.microsoft.com/devices/recoverykey.
- Azure Active Directory (AAD): en entornos empresariales con Entra ID (antes Azure AD), el administrador puede recuperar la clave desde el portal de Azure → Dispositivos → BitLocker.
- Active Directory local: si el equipo está unido a un dominio con GPO de escrow configurada, la clave se guarda en el atributo msFVE-RecoveryPassword del objeto de equipo en AD. Use
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} -SearchBase "CN=NombreEquipo,..." -Properties msFVE-RecoveryPassword. - Archivo o impresión: durante la activación de BitLocker se ofrece guardar la clave en un archivo o imprimirla. Revise archivos .BEK en unidades externas o documentos guardados en ese momento.
- USB de inicio: algunos equipos configuran BitLocker con un USB como clave de inicio en lugar de TPM. Si tiene ese USB, úselo.
TPM: cuándo ayuda y cuándo no
En configuraciones estándar, BitLocker usa el TPM (Trusted Platform Module) para proteger la clave de cifrado. El TPM libera la clave automáticamente si el entorno de arranque no ha cambiado. Sin embargo, el TPM no ayuda en recuperación de datos porque está vinculado a la placa base, no al disco. Si el disco se mueve a otro equipo, el TPM del equipo original no está disponible, y es imprescindible la clave de recuperación de 48 dígitos.
BitLocker y fallo del disco: doble problema
El escenario más crítico que atendemos es cuando el disco tiene daño físico y está cifrado con BitLocker. El proceso requiere dos fases:
- Recuperación física: en sala limpia ISO 5, se repara el componente dañado (cabezales, PCB, firmware) y se crea una imagen del disco sector a sector con ddrescue u herramientas equivalentes.
- Descifrado y extracción: sobre la imagen obtenida, se descifra el volumen BitLocker con la clave de recuperación y se extrae el sistema de archivos NTFS.
El éxito depende de poder leer el VMK (Volume Master Key) y el área de metadatos de BitLocker, que se almacena en sectores específicos al inicio del volumen. Si esa zona está físicamente dañada, el proceso es considerablemente más complejo. Aun así, BitLocker almacena el VMK en tres ubicaciones distintas del volumen para proporcionar redundancia.
VeraCrypt: la cabecera de volumen lo es todo
VeraCrypt almacena todos los parámetros de cifrado (algoritmo, clave de cifrado de volumen, tamaño) en los primeros 512 bytes del volumen, conocidos como cabecera de volumen. Esta cabecera está cifrada con la contraseña del usuario. Si se daña, el volumen es irrecuperable sin una copia de seguridad de la cabecera.
Copia de seguridad de la cabecera: imprescindible
VeraCrypt permite exportar la cabecera cifrada desde Herramientas → Copia de seguridad de cabecera de volumen. Este archivo de 512 bytes es la única forma de recuperar el acceso si la cabecera original se daña. Guárdelo en un lugar externo y seguro.
Para restaurar: Herramientas → Restaurar cabecera de volumen desde archivo de copia de seguridad. Si la cabecera fue dañada por un fallo del disco, habrá que recuperar primero los sectores afectados.
Rescue Disk de VeraCrypt
Durante el cifrado de disco del sistema con VeraCrypt, se crea un Rescue Disk (disco de rescate) en formato ISO. Este disco contiene una copia de la cabecera cifrada del volumen y puede restaurarla si el sector de arranque o la cabecera son dañados por un virus, error de escritura o actualización del sistema. Guárdelo junto con la copia de seguridad de la cabecera.
Volúmenes ocultos: complejidad adicional
VeraCrypt permite crear volúmenes ocultos dentro de un volumen externo (plausible deniability). Si el volumen externo se daña o se escribe en él sin precaución, puede sobrescribir el volumen oculto sin ningún aviso. En caso de daño físico del disco, la recuperación de volúmenes ocultos es especialmente delicada porque cualquier escritura de reparación puede destruir el volumen oculto de forma irreversible.
TrueCrypt: software heredado
TrueCrypt fue descontinuado en 2014. VeraCrypt es su sucesor directo y es compatible con volúmenes TrueCrypt (con la opción “Modo TrueCrypt” al montar). Si tiene volúmenes TrueCrypt, los principios de recuperación son los mismos: necesita la contraseña y, si la cabecera está dañada, una copia de seguridad de la misma. Algunas herramientas de recuperación comerciales (Elcomsoft Forensic Disk Decryptor, Passware Kit Forensic) pueden atacar contraseñas TrueCrypt por fuerza bruta si son débiles.
Qué es recuperable y qué no
| Escenario | Recuperable |
|---|---|
| Disco con clave BitLocker disponible + daño lógico | Muy probablemente sí |
| Disco con clave BitLocker disponible + daño físico | Depende del daño físico (70-85 %) |
| Disco BitLocker sin clave de recuperación | No (sin ataque de fuerza bruta viable) |
| Volumen VeraCrypt con contraseña + cabecera intacta | Sí |
| Volumen VeraCrypt con contraseña + cabecera dañada + copia de seguridad | Sí |
| Volumen VeraCrypt con contraseña + cabecera dañada sin copia de seguridad | No |
| Volumen VeraCrypt sin contraseña | No (sin vulnerabilidad conocida en AES-256) |
Tasas de éxito: con clave vs sin clave
La diferencia es radical. Con clave disponible y daño físico moderado, nuestra tasa de éxito es del 75-85 %. Con clave disponible y daño solo lógico, supera el 90 %. Sin clave de ningún tipo, la tasa de éxito es 0 % para cifrado moderno correctamente implementado (AES-256-XTS en BitLocker, AES-256 en VeraCrypt). No existen “backdoors” ni “vulnerabilidades universales” independientemente de lo que afirmen algunos servicios fraudulentos.
Si ha perdido la clave, la única vía es la recuperación de la contraseña por fuerza bruta (solo viable con contraseñas muy cortas o patrones conocidos) o la búsqueda de la clave en backups, correos electrónicos o documentos del sistema.
Proceso en RecuperaTusDatos.es
Cuando recibimos un disco cifrado:
- Evaluamos el daño físico en sala limpia si procede.
- Creamos una imagen forense sector a sector antes de cualquier operación.
- Solicitamos al cliente la clave de recuperación o contraseña.
- Descifrado en entorno aislado sin conexión a red.
- Extracción de archivos del sistema de archivos subyacente.
- Entrega en dispositivo cifrado nuevo.
Todo el proceso cumple el RGPD y firmamos acuerdos de confidencialidad. Diagnóstico gratuito. Precios entre 350 € y 1.000 € según complejidad.
WhatsApp