Seguridad de Windows · Cifrado de archivos

Cómo cifrar archivos y carpetas con EFS en Windows
Windows 10 · Windows 11 · Copia de seguridad del certificado EFS

Guía práctica para usar Encrypting File System (EFS) y proteger archivos y carpetas concretos en unidades NTFS, incluyendo copia de seguridad del certificado, descifrado, opciones de línea de comandos y solución de problemas.

⏱ 11 min de lectura 🔐 Cifrado EFS 🪟 Windows 10 🪟 Windows 11 💾 Unidades NTFS
Descripción general

Qué es EFS en Windows y cuándo conviene usarlo

Encrypting File System (EFS) es una función integrada de Windows que cifra archivos y carpetas individuales en unidades con formato NTFS. A diferencia de BitLocker, que protege una unidad completa, EFS está pensado para el cifrado selectivo a nivel de archivo: tú eliges exactamente qué documentos, carpetas o archivos de proyecto deben protegerse.

EFS está vinculado a tu cuenta de usuario de Windows y a su certificado de cifrado. Cuando inicias sesión con el usuario correcto, los archivos cifrados se abren con normalidad. Otros usuarios del mismo PC, usuarios que arranquen otro sistema operativo o personas que copien los archivos cifrados sin el certificado no podrán leer el contenido original.

ℹ️
EFS frente a BitLocker

Usa EFS cuando quieras cifrar archivos o carpetas específicos. Usa BitLocker cuando necesites protección para toda la unidad, especialmente en un portátil que podría perderse o ser robado.

Mejores casos de uso para el cifrado EFS

Cuándo EFS no es la mejor opción

Preparación

Antes de cifrar archivos con EFS en Windows 10 o Windows 11

EFS es fácil de activar, pero hay varios requisitos y riesgos importantes. La regla más importante es esta: haz una copia de seguridad del certificado EFS y de la clave privada inmediatamente después de cifrar tu primer archivo. Sin ese certificado, puedes perder el acceso a tus datos cifrados después de reinstalar Windows, restablecer el PC, eliminar el perfil de usuario o mover los archivos a otro equipo.

Requisito Detalles
Formato de la unidad El archivo o la carpeta debe estar almacenado en una unidad NTFS. EFS no está pensado para unidades FAT32 o exFAT.
Edición de Windows EFS normalmente está disponible en ediciones profesionales y empresariales de Windows, como Pro, Enterprise y Education.
Cuenta de usuario El cifrado está vinculado a la cuenta de usuario actual de Windows y a su certificado.
Copia de seguridad del certificado Debes exportar el certificado a un archivo .PFX protegido con contraseña y guardarlo de forma segura.
Compresión Un archivo o una carpeta no puede estar comprimido con NTFS y cifrado con EFS al mismo tiempo.
⚠️
Advertencia importante

No reinstales Windows, restablezcas el PC, elimines el perfil de usuario ni formatees la unidad antes de hacer una copia de seguridad del certificado EFS. Los archivos pueden seguir cifrados, pero quizá ya no tengas la clave privada necesaria para descifrarlos.

Comprobar si la unidad usa NTFS

  1. Abre el Explorador de archivos.
  2. Haz clic derecho en la unidad donde están almacenados los archivos.
  3. Selecciona Propiedades.
  4. Mira el campo Sistema de archivos. Debe mostrar NTFS.
Método del Explorador de archivos

Cómo cifrar una carpeta con EFS en el Explorador de archivos de Windows

La forma más sencilla de usar EFS es mediante la ventana de propiedades de la carpeta. Este método funciona bien cuando quieres que todos los archivos nuevos dentro de una carpeta se cifren automáticamente.

  1. Abre el Explorador de archivos.
  2. Haz clic derecho en la carpeta que quieres proteger.
  3. Elige Propiedades.
  4. En la pestaña General, haz clic en Avanzados.
  5. Activa Cifrar contenido para proteger datos.
  6. Haz clic en Aceptar y luego en Aplicar.
  7. Cuando Windows pregunte cómo aplicar el cambio, elige Aplicar cambios a esta carpeta, subcarpetas y archivos si quieres cifrar todo lo que ya está dentro de la carpeta.
  8. Haz clic en Aceptar y espera a que Windows termine de cifrar los datos.

Después de activar el cifrado, Windows puede mostrar los nombres de archivos y carpetas en color verde en el Explorador de archivos. Esto indica que los elementos están cifrados con EFS.

Flujo de trabajo recomendado

Crea una carpeta dedicada, por ejemplo Documentos privados, activa el cifrado EFS para esa carpeta y mueve allí los archivos sensibles. Los nuevos archivos creados dentro de la carpeta se cifrarán automáticamente.

Cifrado de un solo archivo

Cómo cifrar un solo archivo con EFS en Windows

También puedes cifrar un archivo sin cifrar toda la carpeta. Sin embargo, Windows puede recomendar cifrar también la carpeta principal. Esa recomendación existe porque algunas aplicaciones crean copias temporales al editar archivos. Si la carpeta no está cifrada, los datos temporales pueden escribirse sin cifrar.

  1. Haz clic derecho en el archivo que quieres cifrar.
  2. Selecciona Propiedades.
  3. En la pestaña General, haz clic en Avanzados.
  4. Marca Cifrar contenido para proteger datos.
  5. Haz clic en Aceptar.
  6. Haz clic en Aplicar.
  7. Si se solicita, elige si quieres cifrar solo el archivo o el archivo y su carpeta principal.

¿Debes cifrar también la carpeta principal?

En la mayoría de los casos, sí. Cifrar toda la carpeta ofrece mejor protección porque los archivos temporales, las versiones guardadas nuevas y los archivos copiados dentro de esa carpeta pueden permanecer protegidos automáticamente. Cifrar solo un archivo es útil para una protección rápida, pero es menos fiable como flujo de trabajo a largo plazo.

Copia de seguridad del certificado

Cómo hacer una copia de seguridad del certificado de cifrado EFS y la clave privada

El certificado EFS es la llave de tus datos cifrados. Si Windows te pide hacer una copia de seguridad del certificado de cifrado de archivos, hazlo inmediatamente. También puedes iniciar la exportación manualmente desde el Administrador de certificados.

Método 1: hacer copia del certificado EFS desde la notificación de Windows

  1. Después de cifrar tu primer archivo o carpeta, busca la notificación Hacer copia de seguridad del certificado y la clave de cifrado de archivos.
  2. Haz clic en la notificación.
  3. Selecciona Hacer copia de seguridad ahora.
  4. Sigue el Asistente para exportación de certificados.
  5. Elige exportar la clave privada.
  6. Selecciona el formato Intercambio de información personal (.PFX).
  7. Establece una contraseña segura para el archivo de certificado exportado.
  8. Guarda el archivo .PFX en una ubicación segura, como una unidad externa cifrada.

Método 2: exportar el certificado EFS manualmente

  1. Presiona Win + R.
  2. Escribe certmgr.msc y presiona Enter.
  3. Ve a PersonalCertificados.
  4. Busca el certificado que incluya Sistema de archivos cifrados o Encrypting File System en sus propósitos previstos.
  5. Haz clic derecho en el certificado y elige Todas las tareasExportar.
  6. En el asistente, selecciona Sí, exportar la clave privada.
  7. Elige .PFX, establece una contraseña y guarda el archivo.
🔑
Guarda la copia con cuidado

Cualquier persona que tenga tanto los archivos cifrados como la contraseña del certificado .PFX exportado podría descifrar los archivos. Guarda el certificado separado de los datos cifrados y conserva la contraseña en un gestor de contraseñas seguro.

Línea de comandos

Cómo usar el comando Cipher para cifrar archivos con EFS

Los usuarios avanzados pueden administrar EFS desde el Símbolo del sistema o Windows Terminal con el comando cipher. Es útil para scripts, comprobar el estado del cifrado o cifrar muchos archivos a la vez.

Cifrar una carpeta y sus archivos existentes

Símbolo del sistema
cipher /e /s:"C:\Users\YourName\Documents\Private"

Este comando activa el cifrado EFS para la carpeta seleccionada y procesa los archivos de las subcarpetas.

Descifrar una carpeta y sus archivos

Símbolo del sistema
cipher /d /s:"C:\Users\YourName\Documents\Private"

Mostrar el estado de cifrado

Símbolo del sistema
cipher "C:\Users\YourName\Documents\Private"

Hacer copia del certificado EFS actual desde la línea de comandos

Símbolo del sistema
cipher /x "%USERPROFILE%\Desktop\EFS-Backup.pfx"

Windows te pedirá proteger el certificado exportado con una contraseña. Después de exportarlo, mueve el archivo .PFX del escritorio a una ubicación segura de copia de seguridad.

Descifrado

Cómo descifrar archivos y carpetas EFS en Windows

El descifrado se realiza desde la misma ventana de Atributos avanzados usada para el cifrado. Debes haber iniciado sesión como un usuario que tenga acceso a la clave privada de EFS.

  1. Haz clic derecho en el archivo o carpeta cifrado.
  2. Selecciona Propiedades.
  3. Haz clic en Avanzados en la pestaña General.
  4. Desmarca Cifrar contenido para proteger datos.
  5. Haz clic en Aceptar y luego en Aplicar.
  6. Si estás descifrando una carpeta, elige si quieres aplicar el cambio solo a la carpeta o también a todas las subcarpetas y archivos.

Descifrar con el Símbolo del sistema

Símbolo del sistema
cipher /d "C:\Users\YourName\Documents\Private\file.docx"

Para todo un árbol de carpetas, usa la opción /s:

Símbolo del sistema
cipher /d /s:"C:\Users\YourName\Documents\Private"
Control de acceso

Cómo compartir acceso a archivos cifrados con EFS con otro usuario

EFS puede permitir que otros usuarios de Windows accedan a un archivo cifrado, pero no es lo mismo que compartir una carpeta de forma normal. El otro usuario debe tener un certificado EFS adecuado, y el acceso debe añadirse al archivo cifrado.

  1. Haz clic derecho en el archivo cifrado.
  2. Abre Propiedades.
  3. Haz clic en Avanzados.
  4. Haz clic en Detalles junto a la opción de cifrado.
  5. Haz clic en Agregar.
  6. Selecciona el certificado de usuario que debe tener permiso para acceder al archivo.
  7. Aplica los cambios.
👥
Compartir carpetas y EFS son cosas distintas

Compartir una carpeta por la red no concede automáticamente a otra persona la capacidad de descifrar datos protegidos con EFS. Los permisos de archivo y los certificados EFS son capas separadas de control de acceso.

Soluciones

Solución de problemas de EFS: errores comunes y soluciones

La opción “Cifrar contenido para proteger datos” está atenuada

Esto suele ocurrir porque el archivo no está en una unidad NTFS, la edición de Windows no admite cifrado EFS, el archivo está marcado como comprimido o el cifrado ha sido deshabilitado por una directiva.

No puedes abrir archivos cifrados después de reinstalar Windows

Importa el certificado .PFX exportado previamente en la cuenta de usuario actual:

  1. Haz doble clic en el archivo de copia de seguridad .PFX.
  2. Usa el Asistente para importación de certificados.
  3. Impórtalo en el almacén de certificados del Usuario actual.
  4. Introduce la contraseña que usaste al exportar el certificado.
  5. Intenta abrir de nuevo los archivos cifrados.
¿No tienes copia del certificado?

Si el perfil original de Windows y la clave privada desaparecieron y no existe una copia de seguridad del certificado EFS, normalmente no es posible recuperar el contenido de los archivos cifrados. EFS está diseñado para impedir el acceso sin la clave privada.

Los archivos cifrados pierden el cifrado después de copiarlos

El comportamiento de EFS depende del destino. Copiar archivos a una unidad que no sea NTFS, subirlos mediante algunas aplicaciones o guardarlos dentro de un archivo comprimido puede eliminar la protección EFS. Si necesitas cifrado portátil, usa mejor un contenedor cifrado protegido con contraseña o un archivo comprimido cifrado.

Los archivos están cifrados, pero el nombre de la carpeta no aparece en verde

La visualización de colores del Explorador de archivos puede estar deshabilitada. Para comprobar el estado real, abre las propiedades del archivo o ejecuta el comando cipher sobre la carpeta.

FAQ

Preguntas frecuentes sobre el cifrado EFS en Windows

Q ¿EFS es lo mismo que BitLocker?
No. EFS cifra archivos y carpetas seleccionados. BitLocker cifra unidades o volúmenes completos. Para la mejor protección en portátiles, BitLocker suele ser una mejor primera capa, mientras que EFS puede usarse para archivos sensibles concretos.
Q ¿Puedo usar EFS en una memoria USB?
Solo si la unidad usa NTFS y el equipo tiene el certificado EFS necesario. Para unidades extraíbles que deben abrirse en diferentes PC, BitLocker To Go u otro método de cifrado portátil suele ser más fácil de gestionar.
Q ¿EFS protegerá los archivos si alguien conoce mi contraseña de Windows?
Si alguien puede iniciar sesión como tu usuario de Windows, normalmente podrá abrir tus archivos cifrados con EFS porque la clave privada está disponible en ese perfil de usuario. EFS protege principalmente los datos frente a otras cuentas, acceso sin conexión y copias no autorizadas sin el certificado.
Q ¿Qué ocurre si copio un archivo cifrado con EFS a otro equipo?
El archivo puede seguir cifrado, pero no se abrirá salvo que el equipo de destino tenga importados el certificado EFS correcto y la clave privada para el usuario que necesita acceso.
Q ¿Puede un administrador descifrar mis archivos EFS?
Un administrador local no puede descifrar automáticamente tus archivos sin el certificado necesario o un agente de recuperación configurado. En entornos empresariales administrados, la organización puede configurar directivas de recuperación de EFS.
Q ¿Debo cifrar carpetas del sistema con EFS?
No. No cifres carpetas del sistema de Windows, carpetas de programas, directorios de perfil del navegador u otras carpetas de aplicaciones salvo que entiendas completamente las consecuencias. EFS es más adecuado para documentos personales y carpetas dedicadas de datos.

Conclusión: la forma segura de usar EFS en Windows

EFS es una forma integrada y cómoda de cifrar archivos y carpetas seleccionados en Windows 10 y Windows 11. El enfoque más seguro es cifrar una carpeta dedicada, guardar dentro los archivos sensibles y hacer inmediatamente una copia de seguridad del certificado EFS con la clave privada en un archivo .PFX protegido con contraseña.

Recuerda que EFS depende de tu perfil de usuario de Windows y de tu certificado. Si planeas reinstalar Windows, mover datos a otro PC o restablecer tu cuenta, exporta primero el certificado. Sin esa copia, los archivos cifrados pueden quedar inaccesibles de forma permanente.