MS entrega las claves de cifrado de datos de PCs con Windows si el FBI las solicita

 (windowscentral.com)
3 puntos por GN⁺ 2026-01-25 | 1 comentarios | Compartir por WhatsApp
  • Windows 11 obliga a vincular una cuenta de Microsoft, lo que hace que la clave de cifrado de BitLocker se respalde automáticamente en la nube
  • Microsoft confirmó que entrega esa clave al FBI cuando existe una orden legal válida, lo que permite descifrar y acceder a los datos del PC
  • De hecho, en una investigación por fraude de beneficios por desempleo en Guam en 2025, el FBI recibió de Microsoft una clave de BitLocker y logró desbloquear un dispositivo
  • Microsoft indicó que recibe unas 20 solicitudes de claves al año, pero en la mayoría de los casos no puede responder porque la clave no fue subida a la nube
  • Se advierte que las claves subidas existen sin cifrado del lado de la nube, lo que implica un alto riesgo para la privacidad del usuario

La estructura de cuentas de Windows 11 y el respaldo de claves de BitLocker

  • Windows 11 impone como configuración predeterminada el uso de una cuenta de Microsoft, y a esa cuenta se vincula automáticamente la clave de recuperación de BitLocker
    • Cuando el usuario vincula su cuenta, la clave se guarda en la nube de Microsoft sin necesidad de una configuración adicional
    • Esta función fue diseñada para que el usuario pueda recuperar sus datos si tiene problemas al desbloquear el equipo
  • El usuario puede desactivar esta función y guardar la clave en almacenamiento local, pero el valor predeterminado es subirla a la nube

Casos en los que se entregan claves de cifrado ante solicitudes del FBI

  • Microsoft confirmó en una declaración oficial a Forbes que entrega claves de BitLocker al FBI cuando hay una orden legal válida
    • Esa clave permite descifrar y acceder a los datos del dispositivo con Windows
  • Según el reporte de Forbes, a inicios de 2025, en una investigación por fraude de beneficios por desempleo realizada en Guam, el FBI obtuvo la clave de Microsoft y consiguió acceder al dispositivo
    • En ese caso, la clave de BitLocker del equipo estaba guardada en la nube

La postura de Microsoft y el volumen anual de solicitudes

  • El vocero de Microsoft, Charles Chamberlayne, señaló que “la recuperación de claves es conveniente, pero conlleva el riesgo de accesos no deseados, y los clientes deben decidir por sí mismos cómo administrarlas”
  • Microsoft dijo que recibe aproximadamente 20 solicitudes de claves de BitLocker al año por parte del FBI
    • Sin embargo, en la mayoría de los casos no puede entregarlas porque la clave no fue subida a la nube

Comparación con otras empresas tecnológicas

  • Apple ha tenido casos en los que se negó a dar acceso a datos cifrados pese a solicitudes de las autoridades
    • En el pasado rechazó públicamente la exigencia del FBI de crear una puerta trasera para el iPhone
  • Algunas empresas como Meta usan una arquitectura de zero-knowledge, de modo que ni siquiera del lado del servidor se puedan ver las claves

Riesgos de privacidad y acciones del usuario

  • Las claves de BitLocker subidas a la nube de Microsoft se almacenan sin cifrado del lado del servidor, lo que genera un riesgo de vulneración de privacidad
  • El usuario puede comprobar en el sitio web de la cuenta de Microsoft si su dispositivo está guardando la clave en los servidores de Microsoft
    • En esa página también se ofrece una opción para eliminar la clave
  • El artículo describe esta situación como una “pesadilla de privacidad” y subraya que los usuarios deberían replantearse el respaldo en la nube

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-25
Comentarios de Hacker News

  • El título del artículo lleva a confusión
    En realidad, el artículo de Forbes aclara que Microsoft no entrega la clave simplemente si se la piden, sino solo cuando recibe una orden legal válida (valid legal order)
    Una simple solicitud de las fuerzas del orden puede rechazarse, pero negarse a una orden legal puede acarrear sanciones penales
    Aun así, que Microsoft pueda acceder por defecto a las claves de los usuarios implica una gran vulnerabilidad de seguridad

    • Parece que no lo leíste con suficiente detalle. Estas formulaciones siempre se redactan con cuidado, así que es más importante leer lo que no se menciona
      “legal order” es un concepto amplio que puede abarcar desde una citación administrativa hasta una orden judicial. Una simple “request” no tiene fuerza legal
      Microsoft dice que recibe unas 20 solicitudes al año y responde a 9 o menos. Apple recibe más solicitudes y responde con más frecuencia (Informe de transparencia de Apple)
      También resulta extraño que la portavoz de Microsoft citada por Forbes sea una consultora externa de comunicación de crisis
    • El problema se complica porque Microsoft opera en varias jurisdicciones legales
      Algunos países afirman que sus leyes se aplican a nivel mundial. En una situación así, para que Microsoft pueda cumplir con las exigencias de todos los países, haría falta una separación legal respecto de ciertos Estados
    • Hay que tener cuidado con asumir que “legal order” significa “warrant”
      Algunas agencias gubernamentales sostienen, basándose en lineamientos internos, que pueden arrestar y detener a ciudadanos incluso sin una orden judicial
    • Así como no hay garantía de que el FBI no actúe como un criminal, tampoco se puede confiar plenamente en los empleados de Microsoft
    • Lo que hizo Microsoft esta vez no fue una necesidad técnica, sino una medida preventiva legal
      Si hubieran aplicado un cifrado de extremo a extremo real, podrían simplemente haber respondido a las solicitudes de las fuerzas del orden que era “imposible”

  • Más allá del debate sobre la arquitectura de cifrado, no entiendo por qué alguien pensaría que Microsoft puede negarse a una solicitud legal
    La ley puede exigir la entrega de pruebas, así que ¿cómo podría existir una norma que diga que “puede incumplirse por una obligación contractual”?

    • Microsoft también podría haber pedido el consentimiento antes de subir la clave de cifrado del usuario a la nube
      Pero durante la configuración de Windows fuerza el uso de una cuenta de Microsoft y sube la clave automáticamente
    • En estos casos, debería exigirse no una simple citación (subpoena) sino una orden judicial (warrant)
    • Windows 11 elimina las cuentas locales y envía la clave a Microsoft por defecto
      En sistemas como LUKS esto no ocurre, y eso representa un fallo de seguridad
      Tal vez la intención sea facilitar la recuperación cuando el usuario olvida la contraseña, pero el resultado es una estructura que cualquiera puede abusar
    • Hay suficientes alternativas técnicas, como cifrar la clave de BitLocker con la contraseña del usuario

  • La verdadera libertad empieza en un espacio donde se puede pensar con seguridad
    A medida que se expande la sociedad de vigilancia, la gente ya no puede pensar ni expresarse con tranquilidad
    La lógica de “si no tienes nada que esconder, no pasa nada” termina sofocando el pensamiento libre
    No se puede confiar en el poder del Estado a largo plazo, y la tecnología de cifrado es una herramienta clave para proteger la libertad de pensamiento

    • Yo también entiendo ese sentimiento. Como inmigrante legal, llegué a preguntarme si debía borrar de iCloud una foto de una playera electoral que recibí como broma
      Me daba miedo que alguien en la frontera viera esa foto y me perjudicara
      Cuando esa autocensura se acumula, la libertad desaparece. Se siente como volver a la época soviética

  • No intento defender a Microsoft, pero desde la perspectiva del usuario común, la configuración por defecto puede ser razonable
    Aun así, el usuario debería poder rechazar el almacenamiento de la clave en la nube (opt-out) desde el principio
    En Intel Panther Lake, BitLocker tendrá aceleración total por hardware mediante un SoC dedicado, lo que reducirá las vulnerabilidades del cifrado de disco completo (FDE)
    Pero todavía hay aspectos por mejorar

    • Permitir de forma opcional guardar una clave de recuperación en línea durante la configuración
    • Permitir elegir entre FDE basado en TPM o basado en contraseña
    • Cambiar el KDF a un algoritmo memory-hard
    • Eliminar el límite del PIN (20 caracteres) y permitir combinaciones de letras y números
    • Activar el cifrado de parámetros TPM
    • Pero también hay voces que temen la posible existencia de una puerta trasera en los chips de Intel

  • Cuando llega una solicitud legal, Microsoft no tiene más opción que cumplir
    El diseño mismo de BitLocker está pensado para que las empresas puedan administrar dispositivos de forma remota
    Porque si un empleado es despedido o pierde una laptop, la empresa debe poder desbloquearla directamente
    Este tipo de estructura no es nueva, y responde igual a todas las solicitudes gubernamentales, vengan del FBI, de China o de Europa

    • Es posible que las agencias de EE. UU. tengan una mayor influencia sobre el acceso a datos globales

  • Si alguien es arrestado, la policía puede registrar su casa con una orden judicial (warrant)
    ¿Debería permitirse el mismo nivel de acceso a los datos digitales que a la evidencia física?
    La diferencia de expresión entre “solicitud” y “orden legal”, y la falta de uniformidad en la interpretación legal dentro de EE. UU., son el centro de la polémica
    Queda la duda de si en el ámbito digital hace falta una protección total de la privacidad o si existe un punto intermedio

    • Como referencia, una subpoena es una orden de comparecencia, no una orden de registro
    • ¿De verdad es malo un “Estado de vigilancia benévolo”? Si el objetivo es prevenir delitos, quizá la seguridad pública sea más importante que la privacidad

  • Si el usuario no utiliza directamente una contraseña o un dispositivo de clave para desbloquear el disco, entonces ese secreto existe en algún otro lugar
    Es decir, existe la posibilidad de que un tercero acceda a él
    El problema es que el usuario no necesariamente tiene claro que eso está ocurriendo

  • Según la Third Party Doctrine (doctrina del tercero), Microsoft podría entregar los datos incluso sin una orden legal
    Eso es solo una práctica habitual y podría cambiar en cualquier momento
    En una realidad donde usamos a diario innumerables servicios de terceros, esta doctrina debería abolirse
    (Wiki sobre la Third-party doctrine)

    • Pero en el caso de BitLocker, queda la duda de si puede decirse que el usuario proporcionó la información voluntariamente

  • El título del artículo dice “los entrega si se los piden”, pero el contenido real es “los entrega cuando existe una orden legal válida
    En otras palabras, el título no es más que clickbait

    • El punto clave es que Microsoft posee las claves de los usuarios y tiene la obligación de entregarlas cuando sea necesario
    • La situación ideal sería que Microsoft estuviera diseñado de forma que técnicamente no pudiera entregar las claves
    • También hay quienes opinan que la expresión “si se lo pidieron” en sí no tiene nada de malo

  • Recomiendan VeraCrypt (veracrypt.io)

    • Su predecesor, TrueCrypt, se descontinuó de repente y recomendó migrar a BitLocker, y todavía hay muchas dudas sobre lo que hubo detrás
    • Dicen que un mal día para Microsoft es un buen día para Linux y comparten enlaces de varias distribuciones
      Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora