Cómo funciona BitLocker sin un módulo TPM en Windows
BitLocker normalmente usa un Módulo de plataforma segura (TPM) compatible para ayudar a proteger la unidad del sistema operativo y liberar la clave de cifrado solo cuando el entorno de arranque parece confiable. En un equipo sin un TPM utilizable, BitLocker todavía puede cifrar la unidad de Windows, pero debe usar otro protector de inicio.
En la práctica, activar BitLocker sin TPM significa que Windows requerirá autenticación previa al arranque. Según las opciones disponibles en tu edición y hardware, puede ser una contraseña de inicio o una unidad flash USB que contiene una clave de inicio de BitLocker. La unidad permanece cifrada, pero el equipo no puede desbloquearla de forma silenciosa antes de que Windows se inicie.
Sin TPM, BitLocker no tiene la misma verificación de integridad de arranque respaldada por hardware. La protección sigue cifrando la unidad, pero la credencial de inicio pasa a ser mucho más importante.
Los datos se cifran
Los archivos de la unidad del sistema quedan protegidos cuando el PC está apagado, se pierde, es robado o la unidad se extrae del equipo.
Se requiere entrada al iniciar
Debes escribir una contraseña de inicio o insertar una unidad flash USB con la clave de inicio antes de que Windows pueda arrancar.
Hay que cambiar una directiva
Windows bloquea esta configuración hasta que la directiva Permitir BitLocker sin un TPM compatible esté activada.
Requisitos para activar BitLocker sin TPM en Windows 11 o Windows 10
Antes de cambiar la configuración de BitLocker, comprueba que el equipo y la edición de Windows admiten esta configuración. Esto es especialmente importante en PC antiguos, equipos ensamblados, máquinas virtuales y portátiles donde el TPM puede estar desactivado en BIOS o UEFI.
| Requisito | Por qué importa | Qué comprobar |
|---|---|---|
| Edición de Windows | El cifrado completo de unidad BitLocker está disponible en Windows Pro, Enterprise, Education y algunas ediciones empresariales. | Abre winver o Configuración → Sistema → Acerca de. |
| Cuenta de administrador | Cambiar la directiva de BitLocker y cifrar la unidad del sistema requiere permisos elevados. | Usa una cuenta que pueda abrir Windows Terminal, PowerShell o Símbolo del sistema como administrador. |
| Almacenamiento de la clave de recuperación | Si se pierde la contraseña de inicio o la clave USB, la clave de recuperación puede ser la única forma de desbloquear la unidad. | Prepara una cuenta de Microsoft, una copia impresa, una unidad externa o una entrada segura en un gestor de contraseñas. |
| Compatibilidad con arranque USB | Si usas una clave USB de inicio, el firmware debe poder leer la unidad USB antes de que Windows se inicie. | Confirma que el almacenamiento USB funciona en el modo de arranque BIOS/UEFI y ejecuta la comprobación del sistema de BitLocker. |
| Copia de seguridad de archivos importantes | El cifrado modifica toda la unidad del sistema y un error con las claves puede dejarte sin acceso. | Haz una copia de seguridad de tus archivos personales antes de activar BitLocker en la unidad del sistema operativo. |
Nunca guardes la única copia de la clave de recuperación en la misma unidad cifrada de Windows. Si la unidad se bloquea, esa copia también quedará inaccesible.
Cómo comprobar si tu PC con Windows tiene un módulo TPM
Primero, confirma si el TPM realmente falta o solo está desactivado. Muchos PC modernos tienen TPM 2.0 en el firmware, pero puede estar desactivado en BIOS/UEFI o aparecer con otro nombre, como Intel PTT o AMD fTPM.
Comprobar TPM con tpm.msc
- Pulsa Win + R.
- Escribe
tpm.mscy pulsa Enter. - Mira la sección Estado.
- Si indica El TPM está listo para usarse, tu PC tiene un TPM funcionando.
- Si indica que no se encuentra un TPM compatible, continúa con la configuración de BitLocker sin TPM o revisa primero BIOS/UEFI.
Comprobar TPM con PowerShell
Get-Tpm
Si TpmPresent es False, Windows no detecta actualmente un TPM. Si TpmPresent es True pero TpmReady es False, el módulo existe, pero puede que haya que activarlo, inicializarlo o repararlo.
Si tu equipo tiene TPM pero está desactivado, normalmente es mejor activarlo en BIOS/UEFI que usar BitLocker sin TPM. BitLocker basado en TPM puede desbloquearse con más comodidad y ofrecer una protección más sólida del estado de arranque.
Activar la directiva “Permitir BitLocker sin un TPM compatible”
De forma predeterminada, Windows puede mostrar el error Este dispositivo no puede usar un Módulo de plataforma segura cuando intentas cifrar la unidad del sistema operativo. Para permitir BitLocker sin TPM, primero cambia una opción de la Directiva de grupo local.
- Pulsa Win + R, escribe
gpedit.msc, y pulsa Enter. - Ve a Configuración del equipo → Plantillas administrativas → Componentes de Windows → Cifrado de unidad BitLocker → Unidades del sistema operativo.
- Haz doble clic en Requerir autenticación adicional al iniciar.
- Selecciona Habilitada.
- Marca Permitir BitLocker sin un TPM compatible (requiere una contraseña o una clave de inicio en una unidad flash USB).
- Deja sin cambios las opciones relacionadas con TPM, salvo que también estés configurando BitLocker para equipos que sí tienen TPM.
- Haz clic en Aplicar, luego en Aceptar.
Forzar la actualización de la directiva
Puedes reiniciar Windows o ejecutar este comando en un Símbolo del sistema elevado:
gpupdate /forceLa opción clave es Requerir autenticación adicional al iniciar. La casilla dentro de esa directiva es la que permite BitLocker en una unidad del sistema operativo sin un TPM compatible.
Cómo activar BitLocker sin TPM después de cambiar la directiva
Después de habilitar la directiva, inicia BitLocker desde el Panel de control. Este método es más seguro para la mayoría de usuarios porque Windows muestra el asistente de configuración, pregunta dónde guardar la clave de recuperación y puede ejecutar una comprobación del sistema antes de empezar el cifrado.
Abrir Cifrado de unidad BitLocker
- Pulsa Win + R.
- Escribe
control /name Microsoft.BitLockerDriveEncryptiony pulsa Enter. - Busca la unidad del sistema operativo, normalmente
C:. - Haz clic en Activar BitLocker.
- Elige el método de inicio que ofrece el asistente: contraseña o clave USB de inicio.
- Guarda la clave de recuperación fuera de la unidad del sistema cifrada.
- Elige Cifrar solo el espacio usado en disco para un PC nuevo, o Cifrar la unidad completa para un PC que ya contenía datos personales.
- Selecciona el modo de cifrado más reciente para unidades internas del sistema en Windows 10/11, salvo que necesites compatibilidad con versiones antiguas de Windows.
- Ejecuta la comprobación del sistema de BitLocker cuando se ofrezca y luego reinicia el PC.
La comprobación del sistema de BitLocker verifica que el método de inicio seleccionado funciona antes de que Windows complete el proceso de arranque cifrado. Esto es especialmente importante si usas una clave USB de inicio.
BitLocker sin TPM: contraseña de inicio frente a clave USB de inicio
Cuando TPM no está disponible, el protector de inicio se convierte en la clave práctica de la unidad del sistema cifrada. Elige una opción que puedas usar de forma fiable cada vez que el equipo arranque.
| Opción | Cómo funciona | Ventajas | Riesgos |
|---|---|---|---|
| Contraseña de inicio | Escribes una contraseña antes de que Windows se inicie. | No se requiere unidad USB. Es más cómodo para portátiles y viajes. | Una contraseña débil reduce la seguridad. Si la olvidas, necesitarás la clave de recuperación. |
| Clave USB de inicio | Windows lee un archivo de clave especial desde una unidad flash USB antes de arrancar. | No hay que escribir contraseña al arrancar. Es útil para equipos de escritorio fijos en entornos controlados. | La unidad USB puede perderse, copiarse, dañarse o quedar insertada en el PC. |
| Clave de recuperación | Una clave de emergencia de 48 dígitos desbloquea la unidad cuando falla el protector de inicio normal. | Esencial como respaldo si falla la autenticación de inicio. | Si se pierde, los datos cifrados pueden no ser recuperables. |
Recomendado
- Usa una contraseña de inicio larga si el asistente ofrece autenticación de inicio basada en contraseña.
- Usa una unidad flash USB dedicada si eliges una clave de inicio.
- Conserva al menos una copia de la clave de recuperación sin conexión.
- Prueba el primer reinicio antes de confiar en la configuración.
Evita
- No guardes la clave de recuperación solo en
C:. - No dejes una clave USB de inicio insertada permanentemente en un portátil.
- No uses contraseñas cortas, obvias, reutilizadas o compartidas.
- No cambies la configuración de arranque de BIOS inmediatamente después de activar el cifrado, salvo que tengas la clave de recuperación.
Cómo guardar la clave de recuperación de BitLocker antes de cifrar
La clave de recuperación es tu método de acceso de emergencia. Si Windows no puede usar la contraseña de inicio o la clave de inicio, puede pedir la clave de recuperación de 48 dígitos antes de desbloquear la unidad.
Lugares seguros para guardar la clave de recuperación
- Guárdala en tu cuenta de Microsoft si el asistente ofrece esa opción.
- Imprímela y guarda la copia en papel en un lugar seguro.
- Guárdala en una unidad externa separada que no esté cifrada por la misma configuración de BitLocker.
- Guárdala en un gestor de contraseñas de confianza como nota segura.
- En PC de trabajo, sigue la política de tu organización para guardar claves de recuperación.
Lugares inseguros para guardar la clave de recuperación
- El Escritorio, la carpeta Documentos o la carpeta Descargas de la misma unidad cifrada de Windows.
- Una captura de pantalla guardada solo en el mismo equipo.
- Un archivo de texto sin proteger llamado
bitlocker key.txten una unidad USB compartida. - Una carpeta en la nube que se sincroniza automáticamente con cuentas que no controlas.
Si BitLocker está configurado correctamente y pierdes tanto el protector de inicio normal como la clave de recuperación, Windows no puede simplemente omitir el cifrado. Quizá puedas reinstalar Windows, pero los archivos cifrados del volumen bloqueado no son recuperables sin un protector válido.
Comandos útiles para BitLocker sin TPM
Estos comandos te ayudan a comprobar el estado, confirmar los protectores y supervisar el cifrado. Ejecuta Símbolo del sistema, PowerShell o Windows Terminal como administrador.
Comprobar el estado de BitLocker
manage-bde -status C:Mostrar los protectores de BitLocker de la unidad del sistema
manage-bde -protectors -get C:Comprobar BitLocker con PowerShell
Get-BitLockerVolume -MountPoint "C:"Abrir el applet de BitLocker en el Panel de control
control /name Microsoft.BitLockerDriveEncryptionActualizar la Directiva de grupo
gpupdate /forceSi usas scripts para desplegar BitLocker, pruébalos primero en un equipo no crítico. Los protectores de inicio, el almacenamiento de claves de recuperación, el comportamiento del firmware y las diferencias entre ediciones de Windows pueden cambiar el resultado.
Qué hacer si falta gpedit.msc en Windows
Si gpedit.msc falta, comprueba primero tu edición de Windows. Las ediciones Windows Home normalmente no incluyen el Editor de directivas de grupo local y tampoco ofrecen la experiencia completa de administración de BitLocker usada en las ediciones Pro, Enterprise y Education. Algunos dispositivos con Windows Home admiten Cifrado de dispositivo, pero no es lo mismo que configurar manualmente BitLocker completo sin TPM.
| Edición de Windows | Configuración de BitLocker sin TPM | Acción recomendada |
|---|---|---|
| Windows Pro | Compatible mediante Directiva de grupo local y Cifrado de unidad BitLocker. | Usa gpedit.msc, habilita la directiva de autenticación al inicio y luego inicia BitLocker. |
| Windows Enterprise / Education | Compatible y a menudo administrado mediante directivas de TI, Intune o Active Directory. | Consulta con tu administrador antes de cambiar los protectores de inicio. |
| Windows Home | La configuración completa de BitLocker normalmente no está disponible. | Usa Cifrado de dispositivo si está disponible, o actualiza a Pro si necesitas administración completa de BitLocker. |
Existen cambios de directiva de BitLocker basados en el Registro, pero usar la Directiva de grupo local es más claro, seguro y fácil de auditar. Para la mayoría de usuarios domésticos, el problema de que falte gpedit.msc normalmente significa que la edición de Windows no admite el flujo de trabajo de BitLocker previsto.
Solucionar problemas de BitLocker sin TPM en Windows
Los problemas más comunes se deben a que la directiva no se aplica, a una edición de Windows no compatible, a firmware que no puede leer la clave USB de inicio o a errores al guardar la clave de recuperación.
| Problema | Causa probable | Solución |
|---|---|---|
| Este dispositivo no puede usar un Módulo de plataforma segura | La directiva necesaria está desactivada o no se ha actualizado. | Activa Requerir autenticación adicional al iniciar, marca la casilla sin TPM y luego ejecuta gpupdate /force o reinicia. |
| Falta la opción de BitLocker | Windows Home, falta de permisos de administrador o función de BitLocker deshabilitada en un PC administrado. | Comprueba la edición de Windows con winver y abre el Panel de control como administrador. |
| La clave USB de inicio no se detecta antes del arranque | El firmware no puede leer la unidad USB, la compatibilidad con arranque USB está desactivada o el puerto no está disponible en modo previo al arranque. | Prueba otro puerto USB, activa la compatibilidad USB en BIOS/UEFI, usa una unidad USB FAT32 sencilla y ejecuta la comprobación del sistema de BitLocker. |
| Aparece la solicitud de clave de recuperación después de cambios en BIOS | La configuración de arranque cambió después del cifrado. | Introduce la clave de recuperación, verifica el orden de arranque y luego suspende BitLocker antes de futuras actualizaciones de firmware. |
| La contraseña o la clave funcionan en un arranque pero no en otro | Distribución del teclado, compatibilidad del teclado antes del arranque, clave USB dañada o ruta de arranque modificada. | Usa caracteres sencillos para las contraseñas de inicio, prueba otro teclado o puerto USB y mantén disponible una copia de la clave de recuperación. |
Consejo seguro de mantenimiento
Antes de actualizar BIOS, cambiar el orden de arranque, clonar discos, trabajar con particiones o realizar cambios importantes de firmware, suspende temporalmente BitLocker y reanúdalo cuando termine el mantenimiento.
manage-bde -protectors -disable C:
manage-bde -protectors -enable C:Preguntas frecuentes sobre BitLocker sin TPM
P ¿Puedo activar BitLocker sin TPM en Windows 11? ▼
P ¿BitLocker sin TPM es tan seguro como BitLocker con TPM? ▼
P ¿Necesito una unidad flash USB para BitLocker sin TPM? ▼
P ¿Por qué Windows sigue diciendo que se requiere TPM después de cambiar la directiva? ▼
gpupdate /force, reinicia y verifica la ruta de la directiva en Unidades del sistema operativo.
P ¿Windows Home puede activar BitLocker sin TPM? ▼
P ¿Qué debo hacer si pierdo la clave USB de inicio? ▼
🔐 Resumen: activa BitLocker sin TPM con cuidado
Para activar BitLocker sin un módulo TPM, primero abre gpedit.msc, habilita Requerir autenticación adicional al iniciar, y marca Permitir BitLocker sin un TPM compatible. Después, activa BitLocker desde el Panel de control y elige el método de inicio que ofrece el asistente.
La regla de seguridad más importante es simple: haz una copia de la clave de recuperación antes de que empiece el cifrado y guárdala fuera de la unidad cifrada de Windows. Sin TPM, tu contraseña de inicio o clave USB de inicio se vuelve crítica, y la clave de recuperación es tu método de acceso de emergencia si falla la autenticación de inicio.