Microsoft entregó al FBI claves para desbloquear datos cifrados con BitLocker

A principios del año pasado, el FBI entregó a Microsoft una orden de registro, solicitándole claves de recuperación para desbloquear los datos cifrados almacenados en tres equipos portátiles. Los investigadores federales en Guam creían que los dispositivos contenían pruebas que ayudarían a demostrar que quienes gestionaban el programa de asistencia por desempleo formaban parte de un complot para robar fondos.

Los datos estaban protegidos con BitLocker, un software que se habilita automáticamente en muchos Windows modernos para salvaguardar todos los datos del disco duro. BitLocker codifica los datos para que solo quienes tengan una clave puedan descifrarlos.

Los usuarios pueden almacenar esas claves en un dispositivo propio, pero Microsoft también recomienda que los usuarios de BitLocker guarden sus claves en sus servidores para mayor comodidad. Si bien esto significa que alguien puede acceder a sus datos si olvida su contraseña o si los repetidos intentos fallidos de iniciar sesión bloquean el dispositivo, también los expone a citaciones y órdenes judiciales de las fuerzas del orden.

Microsoft confirmó a Forbes que proporciona claves de recuperación de BitLocker si recibe una orden judicial válida. "Si bien la recuperación de claves ofrece comodidad, también conlleva el riesgo de acceso no deseado, por lo que Microsoft cree que los clientes son quienes mejor pueden decidir cómo administrar sus claves", declaró Charles Chamberlayne, portavoz de Microsoft.

Añadió que la compañía recibe alrededor de 20 solicitudes de claves de BitLocker al año y, en muchos casos, el usuario no ha almacenado su clave en la nube, lo que imposibilita que Microsoft pueda ayudarle.

El caso de Guam es el primer caso conocido en el que la empresa de Redmond, Washington, ha proporcionado una clave de cifrado a las fuerzas del orden. En 2013, un ingeniero de Microsoft afirmó que funcionarios del gobierno le habían contactado para instalar puertas traseras en BitLocker, pero que había rechazado las solicitudes.

Este no es un problema exclusivo de EE.UU. Jennifer Granick, asesora de vigilancia y ciberseguridad de la ACLU, señaló que gobiernos extranjeros con historiales cuestionables en materia de derechos humanos también exigen datos a gigantes tecnológicos como Microsoft. "El almacenamiento remoto de claves de descifrado puede ser bastante peligroso", afirmó.

Las fuerzas del orden solicitan regularmente a los gigantes tecnológicos que proporcionen claves de cifrado, implementen accesos de puerta trasera o debiliten su seguridad de otras maneras. Sin embargo, otras empresas se han negado. A Apple, en particular, se le ha solicitado repetidamente acceso a datos cifrados en su nube o en sus dispositivos. En un enfrentamiento muy publicitado con el gobierno en 2016, Apple impugnó una orden del FBI para ayudar a abrir los teléfonos de los terroristas que dispararon y mataron a 14 personas en San Bernardino, California. Finalmente, el FBI encontró a un contratista para hackear los iPhones.

Expertos en privacidad y cifrado declararon a Forbes que Microsoft debería tener la responsabilidad de brindar una mayor protección a los dispositivos y datos personales de los consumidores. Apple, con sus sistemas comparables FileVault y Passwords, y la aplicación de mensajería WhatsApp de Meta también permiten a los usuarios realizar copias de seguridad de los datos en sus aplicaciones y almacenar una clave en la nube.

Sin embargo, ambos permiten al usuario guardar la clave en un archivo cifrado en la nube, lo que hace inútiles las solicitudes de las fuerzas del orden. No se ha informado de que ninguno de los dos haya entregado claves de cifrado de ningún tipo en el pasado. "Se trata de datos privados en una computadora privada, y tomaron la decisión arquitectónica de mantener el acceso a esos datos. Definitivamente deberían tratarlos como algo que pertenece al usuario", dijo Matt Green, experto en criptografía y profesor asociado del Instituto de Seguridad de la Información de la Universidad Johns Hopkins.

"Si Apple puede hacerlo, si Google puede hacerlo, entonces Microsoft puede hacerlo. Microsoft es la única empresa que no lo está haciendo. Es un poco extraño… La lección aquí es que si se tiene acceso a las claves, eventualmente las fuerzas del orden vendrán".

Granick expresó su preocupación por la cantidad de información que el FBI podría obtener si los agentes acceden a datos protegidos por BitLocker. "Las claves le dan al gobierno acceso a información mucho más allá del plazo de la mayoría de los delitos, a todo lo que está en el disco duro", dijo. "Entonces debemos confiar en que los agentes solo busquen información relevante para la investigación autorizada y no aprovechen la oportunidad para hurgar en ella".

Tanto Green como Granick afirmaron que Microsoft podría obligar a los usuarios a instalar una clave en un dispositivo de hardware, como una memoria USB, que funcionaría como clave de respaldo o recuperación. Microsoft permite esa opción, pero no es la configuración predeterminada de BitLocker en PC con Windows.

Sin las claves de cifrado de Microsoft, el FBI habría tenido dificultades para obtener datos útiles de las computadoras. Los algoritmos de cifrado de BitLocker han demostrado ser impenetrables ante intentos previos de las fuerzas del orden, según una revisión de casos históricos. A principios de 2025, un experto forense de la unidad de Investigaciones de Seguridad Nacional del ICE escribió en un documento judicial que su agencia "no contaba con las herramientas forenses necesarias para acceder a dispositivos cifrados con Microsoft BitLocker ni con ningún otro tipo de cifrado". En un caso anterior, investigadores federales obtuvieron claves al descubrir que un sospechoso las había almacenado en unidades sin cifrar.

Ahora que el FBI y otras agencias saben que Microsoft cumplirá con órdenes judiciales similares al caso de Guam, es probable que exijan más claves de cifrado, afirmó Green. "Mi experiencia me dice que, una vez que el gobierno estadounidense se acostumbra a tener una capacidad, es muy difícil deshacerse de ella".

Fuente: Forbes

Suscríbete a nuestro Boletín