BitLocker bajo la lupa: Microsoft entregó claves al FBI en caso de fraude

 Microsoft proporcionó a agentes federales de Estados Unidos las claves de recuperación de BitLocker necesarias para acceder a tres portátiles cifrados relacionados con una investigación por fraude masivo en subsidios de desempleo durante la pandemia de COVID-19 en Guam. El caso pone de relieve cómo el cifrado respaldado en la nube puede facilitar el trabajo de las fuerzas del orden, pero también reaviva el debate sobre la privacidad de los usuarios comunes.

La entrega de las claves se produjo tras una orden judicial obtenida por el FBI en 2025, como parte de una investigación que apuntaba a una red que habría desviado millones de dólares del programa de ayuda por desempleo de la isla. Los dispositivos incautados contenían evidencia clave, pero el cifrado de disco completo impedía el acceso a los datos sin las credenciales adecuadas.

Los equipos estaban protegidos con BitLocker, la herramienta de cifrado integrada en Windows, diseñada para proteger la información incluso si el dispositivo cae en manos equivocadas. Este sistema cifra el contenido del disco duro y solo permite su desbloqueo mediante una clave de recuperación de 48 dígitos, que resulta imprescindible cuando se pierde el acceso normal al sistema.

En este caso, los propietarios de los portátiles no pudieron o no quisieron proporcionar las claves. Sin embargo, como las credenciales habían sido almacenadas previamente en la nube de Microsoft, la empresa pudo entregarlas a las autoridades tras recibir una solicitud legal válida. Gracias a ello, los investigadores lograron acceder a los datos cifrados y avanzar en el caso.

BitLocker se activa de forma automática en muchos dispositivos Windows modernos, y ofrece a los usuarios varias opciones para guardar la clave de recuperación. Puede almacenarse de forma local, como en una memoria USB o impresa en papel, o bien guardarse en la cuenta en la nube de Microsoft para facilitar su recuperación en caso de bloqueo. Esta última opción aporta comodidad, pero también implica que la clave pueda ser accesible mediante una orden judicial.

Microsoft confirmó a Forbes que cumple con este tipo de requerimientos legales cuando corresponde. Un portavoz de la compañía, Charles Chamberlayne, explicó que si bien el almacenamiento en la nube simplifica la recuperación de acceso, también conlleva riesgos, por lo que la empresa considera que los propios usuarios deben decidir cómo gestionar sus claves de cifrado.

Según la compañía, recibe alrededor de 20 solicitudes al año relacionadas con claves de BitLocker, aunque en muchos casos no puede ayudar porque los usuarios optaron por no guardar las claves en la nube. Microsoft insiste en que quienes priorizan la privacidad deberían considerar mantener sus claves fuera de línea y bajo control exclusivo del usuario.

Este tipo de situaciones no es exclusivo de Microsoft. Otras grandes tecnológicas como Apple y Google también han enfrentado peticiones similares por parte de las autoridades. Sin embargo, el caso de Guam ilustra claramente el doble filo del cifrado moderno: una defensa sólida frente a delincuentes y accesos no autorizados, pero potencialmente vulnerable ante requerimientos legales cuando las claves se almacenan en servicios centralizados.

Especialistas en seguridad recomiendan a los usuarios más preocupados por la privacidad exportar las claves de recuperación a medios físicos, evitar el almacenamiento en la nube y, en entornos avanzados, utilizar hardware de seguridad dedicado, como llaves criptográficas. En un contexto donde el fraude digital y las investigaciones gubernamentales continúan creciendo, encontrar el equilibrio entre comodidad, seguridad y privacidad sigue siendo un desafío clave para usuarios y empresas.