La recuperación de datos de una unidad cifrada con BitLocker no presenta el mismo escenario en todos los casos. Olvidar la contraseña pero conservar la clave de recuperación a mano es una solución de cinco minutos. Una tabla de particiones dañada en un volumen cifrado, o una unidad del sistema que perdió el vínculo con TPM después de un cambio de hardware, es una situación completamente distinta: el volumen sigue ahí, pero localizarlo y desbloquearlo requiere algo más que escribir una contraseña en Windows. Esta guía cubre ambos casos, tanto para el volumen del sistema (C) como para cualquier volumen de datos cifrado adicional (D).

Contenido
- Volúmenes, no discos: qué protege realmente BitLocker
- Por qué una unidad cifrada con BitLocker se vuelve inaccesible
- Dónde encontrar la clave de recuperación de BitLocker
- Cómo recuperar datos de una unidad cifrada con BitLocker con RS Partition Recovery
- Por qué el escaneo en bruto no funciona en un volumen de BitLocker bloqueado
| Situación | Qué hacer | Dificultad |
|---|---|---|
| Se olvidó la contraseña, pero se dispone de la clave de recuperación de 48 dígitos o del archivo BEK | Desbloquear directamente con la clave durante la recuperación de datos | Baja |
| TPM no puede desbloquear la unidad después de un cambio de placa base/UEFI | Usar la clave de recuperación en lugar del desbloqueo automático de TPM | Media |
| Tabla de particiones dañada; el volumen aparece como RAW o sin asignar | El software de recuperación localiza el volumen por su firma FVE, no por la tabla de particiones | Alta |
| El cifrado o descifrado se interrumpió a mitad del proceso | El volumen está parcialmente cifrado; desbloquear con la clave y analizar con normalidad | Media |
| La clave de recuperación se perdió por completo y no existe ninguna copia de seguridad | No hay forma de recuperar los datos: el cifrado está cumpliendo su función | No recuperable |
Volúmenes, no discos: qué protege realmente BitLocker
BitLocker cifra un volumen, no un disco físico. Un disco puede contener varias particiones y solo algunas de ellas pueden estar protegidas por BitLocker; el proceso de recuperación depende de cuál se trate y del estado en que se encuentre.
En segundo plano, BitLocker genera una Full Volume Encryption Key (FVEK) y cifra cada sector del volumen con AES, en modo CBC o XTS, con Elephant Diffuser añadido en versiones antiguas de Windows. La FVEK se encapsula mediante una Volume Master Key (VMK), y la VMK se protege con uno o varios mecanismos: TPM (Trusted Platform Module), un PIN, una contraseña, una tarjeta inteligente o la clave de recuperación de 48 dígitos. No es necesario conocer directamente la FVEK: basta con disponer de un protector válido para desencapsular la VMK y acceder al volumen. Puede comprobar qué protectores están configurados en un sistema en ejecución con:
manage-bde -protectors -get C:

Esto también explica por qué una tabla de particiones dañada no supone el fin de la recuperación de datos de BitLocker.
Los metadatos FVE que describen el volumen son independientes de la tabla de particiones: se trata de una estructura separada con su propia firma. Si la tabla de particiones desaparece, en Windows el volumen aparece como espacio RAW o no asignado, pero los sectores cifrados y la cabecera FVE no se han movido. Una herramienta que solo lee la tabla de particiones informa de que “no se han encontrado particiones”. RS Partition Recovery busca directamente la firma FVE a nivel de disco, antes de introducir ninguna clave, por lo que identifica el volumen BitLocker incluso cuando la tabla de particiones ya no existe.
No ejecute un formato rápido ni la opción “inicializar disco” sobre un volumen que aparezca como RAW o no asignado si es posible que esté protegido por BitLocker. Ambas operaciones pueden sobrescribir la zona de la tabla de particiones y los metadatos FVE necesarios para localizar el volumen, convirtiendo una situación recuperable en irrecuperable.
Los protectores suelen diferir entre el volumen del sistema y un volumen de datos, aunque el formato de los metadatos FVE sea idéntico en ambos casos:
- Volumen del sistema/de arranque (C): normalmente está protegido por TPM, a menudo combinado con un PIN. El TPM vincula la clave a la placa base y a la configuración de arranque específicas, por lo que al mover la unidad a otro equipo el protector TPM deja de ser válido; la única forma de acceso es la clave de recuperación o la contraseña, si se configuró alguna.
- Volumen de datos (D): suele utilizar una contraseña, una tarjeta inteligente o el desbloqueo automático (auto-unlock), donde la VMK de D se cifra con una clave almacenada en el volumen del sistema (y a su vez cifrada) y se libera automáticamente cuando Windows arranca en el equipo original. Fuera de ese sistema operativo original, el desbloqueo automático no se activa y D necesita su propio protector válido, normalmente una clave de recuperación distinta de la usada para C.
Por eso, el mismo disco puede solicitar una clave de recuperación para C durante el arranque y, a continuación, rechazar cualquier opción salvo una clave completamente distinta para D: no necesariamente ambos volúmenes están protegidos por el mismo mecanismo, aunque el proceso de descifrado sea idéntico una vez que se proporciona un protector válido.
Por qué una unidad cifrada con BitLocker se vuelve inaccesible
El fallo del protector es solo una de varias categorías de problema. En la práctica, los problemas de acceso suelen encajar en algunos patrones recurrentes:
- El reemplazo de la placa base, una actualización de UEFI/BIOS o un cambio en la configuración de Secure Boot invalida el estado del TPM, y el sistema pasa a solicitar la clave de recuperación.
- El proceso de cifrado o descifrado se interrumpe — por un corte de alimentación, un apagado forzado o un proceso
manage-bdebloqueado — y el volumen queda parcialmente cifrado. - El disco se traslada a otro equipo que no tiene ningún vínculo de TPM con él, y solo funcionan la clave de recuperación o la contraseña.
- La tabla de particiones está dañada o sobrescrita (errores del Administrador de discos, una reinstalación del sistema operativo fallida o un cambio accidental de particiones), y el volumen aparece como RAW o sin asignar, aunque debajo siga cifrado e intacto.
- El controlador de dominio que almacena la clave de recuperación no está accesible, o la clave nunca se guardó en un lugar al que el usuario actual pueda acceder.
- Una unidad con sectores defectuosos afecta a la región que contiene los metadatos FVE, y el propio BitLocker ya no puede interpretar su encabezado.
Forma rápida de comprobar el estado del volumen y de los protectores antes de hacer nada más:
manage-bde -status C:
Este comando muestra el porcentaje de cifrado, el método utilizado y el estado de bloqueo, lo que resulta útil para distinguir entre una fase de cifrado interrumpida y un volumen realmente dañado antes de decidir el método de recuperación.
Dónde encontrar la clave de recuperación de BitLocker
Antes de dar por perdido el acceso a los datos, conviene comprobar los lugares habituales donde suele guardarse la clave de recuperación de BitLocker:
- Una cuenta de Microsoft: si el PC se configuró con una, la clave suele cargarse automáticamente y puede consultarse en account.microsoft.com/devices/recoverykey.
- Una copia impresa o un archivo de texto guardado durante la configuración, normalmente con el identificador único de la unidad en el nombre (por ejemplo,
BitLocker Recovery Key XXXXXXXX-XXXX-...txt). - Azure AD / Entra ID, en el caso de dispositivos administrados por la empresa o el centro educativo: un administrador puede localizarla por dispositivo o por Id. de clave.
- Un administrador de dominio, si el equipo está unido a un dominio local de Active Directory que almacena las claves de BitLocker.
- Una llave USB guardada, si el volumen se configuró para desbloquearse mediante un archivo de clave de inicio (BEK) en lugar de una contraseña escrita.
Si aparecen varias claves, identifíquelas por el Id. de clave: es el mismo identificador que se muestra en la pantalla de desbloqueo o que informa RS Partition Recovery cuando detecta el volumen, ya que cada protector está vinculado a una VMK específica.
Cómo recuperar datos de una unidad cifrada con BitLocker con RS Partition Recovery
RS Partition Recovery detecta un volumen de BitLocker durante el análisis inicial del disco, independientemente de que la tabla de particiones esté intacta. La clave, la contraseña o el archivo BEK se solicitan antes de iniciar el análisis, no a mitad del proceso; por tanto, el flujo de trabajo es el siguiente:

Conecte la unidad e inicie un análisis. El programa identifica el volumen de BitLocker por su firma FVE, incluso si falta la tabla de particiones o el volumen aparece como RAW.
Cuando se le solicite, proporcione una contraseña, la clave de recuperación de 48 dígitos o uno o varios archivos de clave .bek. Se pueden agregar varios archivos BEK a la vez si no está claro cuál coincide.

Si la clave es incorrecta, el programa informa del error de desbloqueo de forma directa; no recurre a un análisis ciego de los sectores cifrados como si fueran datos en texto plano.
Una vez desbloqueado, el volumen se descifra sobre la marcha durante el análisis, del mismo modo que el controlador integrado de BitLocker lo descifra durante el uso normal de Windows.

Revise el árbol de archivos recuperados y guarde los resultados en una unidad física distinta de la unidad de origen.
Un volumen parcialmente cifrado —es decir, aquel en el que el cifrado o el descifrado se interrumpió a mitad del proceso— se trata de la misma manera: basta con proporcionar el protector que funcione y la herramienta continúa el análisis, sin exigir que el proceso se complete o se revierta primero.
Por qué el escaneo en bruto no funciona en un volumen de BitLocker bloqueado
Los sectores cifrados son estadísticamente indistinguibles de datos aleatorios. Una herramienta de recuperación que analiza un volumen de BitLocker bloqueado buscando firmas de tipo de archivo —el encabezado JPEG, el encabezado local de archivo ZIP, etc.— ocasionalmente coincidirá con esos patrones de bytes por pura casualidad dentro del flujo cifrado. El resultado parece un análisis normal: una lista de archivos .jpg, .zip o .docx “recuperados”. Ninguno se podrá abrir, porque en realidad nunca hubo un archivo válido: la coincidencia con la firma fue fortuita. Esta es una fuente habitual de confusión cuando una herramienta no reconoce BitLocker y trata el volumen simplemente como datos no estructurados.
Una contraseña de BitLocker olvidada no se puede recuperar del mismo modo que una contraseña olvidada de una cuenta de Windows, mediante una herramienta de descifrado de hashes. Las contraseñas de inicio de sesión de Windows se validan contra un hash almacenado en el mismo equipo; los protectores de BitLocker derivan una clave utilizada directamente en el cifrado AES, sin un atajo equivalente. La única forma de acceder sin la contraseña original es mediante la clave de recuperación o, cuando esté configurado, un archivo BEK.
Preguntas frecuentes
manage-bde -resume C:. Si eso falla, o si lo único que se busca es recuperar los archivos, desbloquear el volumen con la clave de recuperación y escanearlo directamente funciona, sin importar hasta qué punto haya avanzado el proceso.





