Windows pide BitLocker al desactivar Arranque seguro: causas y soluciones

Última actualización: noviembre 24, 2025
Autor: Isaac
  • Desactivar Secure Boot cambia las mediciones del TPM y BitLocker exige la clave de recuperación.
  • Suspende BitLocker antes de tocar BIOS/UEFI/TPM y vuelve a habilitarlo después.
  • Restaurar las claves de Secure Boot y mantener PCR/TPM por defecto evita futuros bloqueos.
  • Sin la clave de recuperación no es posible acceder a los datos cifrados.

BitLocker y Arranque seguro en Windows

Si has desactivado el Arranque seguro para iniciar Ubuntu desde un USB y, al volver a Windows, te ha saltado la pantalla azul pidiendo la clave de recuperación de BitLocker, tranquilo: no eres el único al que le ha pasado. Esta situación es muy común cuando se cambia la forma en la que arranca el equipo, se actualiza el firmware o se tocan opciones de TPM/UEFI. Aquí verás por qué ocurre y cómo solucionarlo sin perder datos.

En escenarios como el de arrancar Ubuntu con Ventoy en modo persistente, la BIOS suele bloquear el arranque si el Arranque seguro está activo, por lo que mucha gente lo deshabilita. Al hacerlo, BitLocker detecta un cambio crítico de arranque y puede pedir la clave de recuperación. A continuación te explico, paso a paso y con diferentes métodos, cómo evitar el bucle de recuperación, qué hacer si no tienes la clave a mano, cómo reactivar Arranque seguro correctamente y cómo gestionar BitLocker en Windows 10 y 11.

Por qué BitLocker pide la clave al desactivar el Arranque seguro

Causas de BitLocker tras cambios de arranque

BitLocker confía en mediciones del arranque almacenadas en el TPM (PCRs como 7 y 11). Si cambias elementos como Secure Boot, UEFI/TPM o firmas del firmware, esas mediciones varían y Windows interpreta que el entorno ha podido ser manipulado. Por seguridad, exige la clave de recuperación. Esto está documentado por Microsoft y afecta especialmente cuando:

  • Secure Boot está desactivado o los PCR no son los predeterminados (p. ej., definidos por directiva).
  • Se aplica una actualización de firmware del sistema o del TPM que altera firmas o mediciones.

En dispositivos Surface, Microsoft describe síntomas típicos tras cambios de UEFI/TPM: solicitud de clave de recuperación en cada arranque, arranque directo a la configuración UEFI o bucles de reinicio. Los modelos afectados incluyen Surface Studio 1, Surface Pro 4, Surface Pro 3, Surface Book, Surface Laptop (1.ª gen), Surface Pro (5.ª gen), Surface Book 2 (13 y 15 pulgadas) y Surface Pro con LTE Advanced.

También hay causas adicionales que pueden disparar el modo de recuperación: errores como 0xc0000098 (que altera el entorno de arranque), actualizaciones pendientes/fallidas, cambios de política de desbloqueo automático, BIOS desactualizada, o alternar Secure Boot. Todo ello puede provocar que BitLocker pida el PIN, desactive Windows Hello temporalmente o exija la clave de recuperación en frío.

Casos reales que te pueden pasar

Si quieres arrancar Ubuntu desde USB con Ventoy en modo persistente, verás que con Secure Boot activo puede aparecer “Security violation”. La solución rápida es desactivar Arranque seguro para que el USB inicie, pero después, al volver a Windows, BitLocker detecta el cambio y pide la clave. Es el comportamiento esperado si no se suspendió la protección antes de tocar la BIOS.

Otro ejemplo frecuente: un Asus Vivobook que, tras un tiempo sin uso, arranca pidiendo la clave de BitLocker avisando de que se desactivó el Arranque seguro. Para empeorar las cosas, hay usuarios con cuenta local (sin cuenta Microsoft) que no pueden recuperar la clave en aka.ms/recoverykey y, además, ven la opción de Secure Boot “en gris” en BIOS. En estos casos suele ser necesario habilitar el control de Arranque seguro y restaurar las claves de fábrica (Key Management) para reactivar Secure Boot, además de localizar la clave de recuperación guardada en su día (impresa, archivo en otra unidad o gestión corporativa si aplica).

Relacionado:  Cómo configurar audio en tv con windows 10

Por último, hay quien reinstala Windows desde USB y descubre que con Secure Boot habilitado, BitLocker se activa automáticamente (cifrado de dispositivo o BitLocker estándar). Sin la precaución de guardar la clave, puedes acabar bloqueado tras cualquier cambio de firmware o de arranque.

Antes de tocar nada: recupera la clave o suspende BitLocker

Lo ideal, antes de actualizar BIOS/TPM, cambiar Secure Boot o arrancar otro SO, es suspender temporalmente BitLocker. Así evitas que el TPM detecte cambios y exija la clave en el siguiente arranque:

  1. Abre PowerShell como administrador.
  2. Ejecuta Suspend-BitLocker -MountPoint "C:" -RebootCount 0 para dejar la protección en pausa sin reactivarse automáticamente.
  3. Realiza los cambios (actualización de UEFI/TPM, alternar Secure Boot, etc.).
  4. Después, ejecuta Resume-BitLocker -MountPoint "C:" para reanudar la protección.

Si ya estás ante la pantalla de recuperación, necesitas la clave de 48 dígitos. Búscala en:

  • Tu cuenta Microsoft (aka.ms/recoverykey) si inicias sesión con ella o si el equipo la guardó allí.
  • El archivo o impresión que guardaste durante la activación de BitLocker (muchas guías lo recomiendan de forma explícita).
  • Entornos corporativos: tu administrador puede recuperar la clave desde Active Directory o MBAM si el equipo está gestionado.

Una vez con la clave, puedes desbloquear y desactivar temporalmente los protectores desde el Entorno de recuperación:

  1. Arranca desde una unidad de recuperación o desde las opciones avanzadas.
  2. Abre el Símbolo del sistema y ejecuta: 
    manage-bde -unlock C: -RecoveryPassword TU-CLAVE-DE-48-DIGITOS
manage-bde -protectors -disable C:
  3. Reinicia y, tras validar que todo funciona, vuelve a activar: 
    manage-bde -protectors -enable C:

Esta secuencia permite seguir trabajando mientras repones el estado de arranque recomendado. Aun así, guardar siempre la clave de recuperación es imprescindible, porque sin ella no es posible acceder a los datos cifrados.

Rehabilitar Secure Boot de forma segura

Muchos fabricantes, como ASUS, documentan procesos para activar/desactivar Arranque seguro y, si aparece “No activo” o “en gris”, restablecer las claves de Secure Boot. En modo UEFI o en “MyASUS in UEFI”, los pasos típicos son:

  1. Entrar a BIOS/UEFI con F2 (o Supr en sobremesa) desde apagado.
  2. Pulsar F7 para ir a Modo Avanzado y abrir Seguridad o Arranque.
  3. En Secure Boot, activar “Secure Boot Control” o elegir “Windows UEFI Mode”.
  4. Acceder a Key Management: usar “Reset To Setup Mode” para limpiar bases de datos y luego “Restore Factory Keys”/“Install Default Secure Boot Keys”.
  5. Guardar con F10 y reiniciar para aplicar los cambios.

Si el estado aparece como “No activo”, suele deberse a que las claves no están cargadas o el control está deshabilitado. Al restaurar las claves de fábrica, el estado vuelve a “Usuario” y Secure Boot queda operativo. En equipos de escritorio ASUS, el ajuste “Tipo de SO” en “Windows UEFI Mode” también activa Secure Boot; “Otro SO” lo desactiva.

TPM, PCR y actualizaciones de firmware: buenas prácticas

Para evitar sustos, conviene revisar que el TPM funciona y planificar cualquier actualización relacionada con firmware/UEFI:

  • Comprueba el TPM con Win+Rtpm.msc. Si no está activo, habilita PTT/TPM 2.0 en BIOS (puede llamarse “Security Chip” o similar).
  • Antes de actualizar BIOS, UEFI o TPM, suspende BitLocker: Suspend-BitLocker -MountPoint "C:" -RebootCount 0. Tras el proceso, ejecuta Resume-BitLocker -MountPoint "C:".
  • En Surface, Microsoft recomienda además mantener Secure Boot habilitado y usar PCR predeterminados para reducir solicitudes de recuperación después de actualizaciones de firmware.
Relacionado:  Arreglar problema en Windows 10: fecha y hora no se actualizan

Si un Surface no arranca aun con la clave correcta, Microsoft propone quitar temporalmente los “protectores” de BitLocker desde una imagen de recuperación de Surface:

  1. Descarga la imagen de recuperación desde la web de Surface en otro equipo y crea el USB.
  2. Arranca desde ese USB, elige idioma y teclado, entra en Solucionar problemas → Opciones avanzadas → Símbolo del sistema.
  3. Ejecuta: 
    manage-bde -unlock C: -RecoveryPassword TU-CLAVE-DE-48-DIGITOS
manage-bde -protectors -disable C:
  4. Reinicia y, cuando todo esté estable, vuelve a habilitar los protectores.

Si ni siquiera así puedes arrancar, la opción de “recuperación sin sistema operativo (BMR)” permite desbloquear la unidad con la clave, copiar datos con copy/xcopy a otra unidad y luego restablecer el dispositivo usando la propia imagen de recuperación.

Soluciones cuando estás bloqueado en la pantalla de recuperación

Vamos con un conjunto ordenado de medidas para romper el bucle de recuperación sin comprometer tus datos:

  • Verifica el TPM: tpm.msc. Si está deshabilitado, actívalo en BIOS (PTT/TPM 2.0) y prueba de nuevo el arranque.
  • Activa Secure Boot: entra en UEFI y habilítalo. Si sale en gris, restaura las claves de fábrica como se explicó antes.
  • Suspende BitLocker temporalmente: desde Windows o entorno de recuperación, usa manage-bde -protectors -disable C:. Reinicia y valida que el sistema arranca estable.
  • Actualiza Windows: Configuración → Windows Update. Las actualizaciones pendientes pueden interferir en el flujo de arranque, PIN o Windows Hello.
  • Restablece PIN/Hello: Configuración → Cuentas → Opciones de inicio de sesión. Algunos cambios de arranque invalidan temporalmente credenciales rápidas.
  • Usa el menú de arranque Legacy como paliativo: abre CMD (admin) y ejecuta bcdedit /set {default} bootmenupolicy legacy. Ayuda en casos donde el menú gráfico de Windows 10/11 activa la recuperación, aunque lo ideal es restaurar la configuración recomendada después.
  • Actualiza la BIOS/UEFI: descarga la versión más reciente del fabricante. Si tu placa soporta “BIOS Flashback”, prepara un USB FAT32 con el binario y sigue el procedimiento oficial. Recuerda suspender BitLocker antes de flashear.

Importante: si no dispones de la clave de recuperación, no existe un método legítimo para eludir el cifrado. La alternativa viable es formatear la unidad y reinstalar Windows, lo cual borra los datos. Herramientas de recuperación no pueden rescatar información de un volumen BitLocker sin su clave.

Gestionar, pausar o desactivar BitLocker en Windows 10/11

Windows ofrece varias rutas para abrir “Administrar BitLocker”. Desde el menú Inicio busca Manage BitLocker, desde Panel de control → Sistema y seguridad → Cifrado de unidad BitLocker, desde Configuración buscando “Device Encryption” en Windows 11 Home, o desde el Explorador haciendo clic derecho en la unidad C:. Todas llevan al mismo panel para activar, suspender, reanudar o desactivar.

Al activar BitLocker, el asistente te pide elegir dónde guardar la clave (cuenta Microsoft, archivo, impresión). Es vital guardarla bien, porque sin esa clave no hay forma de recuperar datos. Luego ofrece cifrar solo el espacio usado (más rápido) o todo el disco (más exhaustivo). En equipos nuevos, el “modo nuevo” de cifrado es el recomendado.

Para comprobar el estado por línea de comandos, abre CMD (admin) y ejecuta manage-bde -status. Verás si la unidad está cifrada, el porcentaje y el tipo de protectores activos. También puedes pausar y reanudar desde CMD con manage-bde -protectors -disable C: y manage-bde -protectors -enable C:, útil tras cambios de firmware o arranque.

Relacionado:  Cómo configurar un gps garmin etrex 10

Si necesitas desactivar por completo BitLocker, desde el panel pulsa “Desactivar BitLocker” y espera el descifrado. Según la cantidad de datos y la velocidad del equipo puede tardar de minutos a horas. Suspender/pausar, en cambio, no descifra la unidad y es la opción recomendada para mantenimiento.

Guía específica para dispositivos Surface

Microsoft documenta tres líneas de acción principales para Surface cuando el equipo pide la clave tras cambios en TPM/UEFI:

  1. Suspender BitLocker con PowerShell (Suspend-BitLocker -MountPoint "C:" -RebootCount 0), aplicar actualizaciones de firmware y luego reanudar con Resume-BitLocker -MountPoint "C:".
  2. Rehabilitar Secure Boot y PCR predeterminados: suspende BitLocker, entra a UEFI, en Seguridad → Secure Boot elige “Solo Microsoft”, guarda y reanuda BitLocker.
  3. Quitar protectores desde una imagen de recuperación de Surface si no arranca aun con la clave correcta, desbloqueando con manage-bde -unlock C: -RecoveryPassword y desactivando protectores con manage-bde -protectors -disable C:.

Como último recurso, la “Recuperación sin sistema operativo (BMR)” permite desbloquear con la clave, copiar datos con copy/xcopy y restaurar el equipo desde la unidad USB de recuperación. Esta vía es útil cuando el arranque está dañado y ni siquiera tras introducir la clave se llega a Windows.

Cómo reactivar Secure Boot en ASUS paso a paso

Resumiendo los pasos clave en ASUS para cuando Secure Boot sale en gris o “No activo” y necesitas volver al estado recomendado:

  1. Entra a BIOS con F2 (o Supr en sobremesa) y ve a Modo Avanzado (F7).
  2. Abre Seguridad → Secure Boot y habilita Secure Boot Control.
  3. En Key Management, pulsa “Reset To Setup Mode” y confirma. Después, “Restore Factory Keys”/“Install Default Secure Boot Keys”.
  4. En sobremesa, ajusta “Tipo de SO” a “Windows UEFI Mode”. En portátiles/MyASUS, el “Control de Arranque seguro” debe quedar en “Enabled”.
  5. Guarda con F10 y reinicia. El estado debería reflejar “Usuario” con Secure Boot activo.

Recuerda: modificar la BIOS con BitLocker activo puede disparar la petición de clave. Si puedes, suspende la protección primero y ten a mano tu clave de recuperación por si el sistema la solicita al siguiente arranque.

BitLocker, cuentas locales y activación “por defecto”

Muchos equipos modernos con Windows 11 vienen con “Cifrado de dispositivo” o BitLocker habilitado por defecto, incluso con cuentas locales. El sistema insiste en que guardes la clave, pero es fácil omitir el aviso al configurar por primera vez. Es comprensible la frustración cuando, tiempo después, el equipo pide la clave y no la encuentras. Por eso es esencial:

  • Guardar la clave en una ubicación fuera del equipo (cuenta Microsoft, impresión, USB).
  • Suspender BitLocker antes de cambios de arranque/firmware.
  • Mantener Secure Boot habilitado y UEFI actualizados.

Si usas cuentas locales y no tienes la clave en la nube, busca impresiones, archivos .txt o copias de seguridad donde pudieras haberla guardado. Sin esa clave, la única opción para seguir es formatear e instalar de cero, algo que borra toda la información.

Cuando Windows muestra BitLocker tras desactivar Arranque seguro, lo hace para protegerte. La pauta ganadora pasa por suspender BitLocker antes de tocar UEFI/TPM, habilitar de nuevo Secure Boot con sus claves de fábrica, mantener PCR/TPM en valores predeterminados y, si te quedas bloqueado, usar la clave para desbloquear, desactivar temporalmente los protectores y restaurar la configuración recomendada. Planificando estos pasos y guardando bien la clave de recuperación, evitarás el susto y podrás alternar entre Windows y tus herramientas o sistemas en USB sin sobresaltos.