Cómo cifrar datos con VeraCrypt y proteger tus discos

  • VeraCrypt es la evolución segura y de código abierto de TrueCrypt para cifrar contenedores, particiones y discos completos.
  • Permite crear volúmenes normales y ocultos, cifrar USB y hasta la unidad de sistema con autenticación previa al arranque.
  • Su seguridad depende de contraseñas robustas, buena gestión de claves y copias de seguridad del encabezado o disco de rescate.
  • Supone un ligero impacto en rendimiento y complejidad de uso, compensado por un alto nivel de protección de datos.
Daniel Terrasa

18 minutos

Cifrar datos con VeraCrypt

Proteger la información personal y profesional se ha convertido en algo tan básico como tener un buen antivirus o mantener el sistema actualizado. Documentos de trabajo, fotos, copias de documentos oficiales, claves guardadas en texto plano… todo eso suele acabar en el disco del PC, en un pendrive que va siempre en la mochila o en algún servicio de almacenamiento en la nube. Si alguien se hace con ese dispositivo o accede a tu cuenta sin permiso, sin cifrado es como dejar la puerta de casa abierta.

VeraCrypt se ha consolidado como el heredero natural de TrueCrypt para cifrar datos de forma robusta en Windows, Linux y macOS. Permite crear contenedores cifrados, proteger memorias USB y discos externos, e incluso cifrar todo el disco donde está instalado el sistema operativo con autenticación antes de que arranque Windows. A lo largo de esta guía vas a ver con todo detalle qué ofrece, cómo funciona y cómo puedes usarlo para blindar tus archivos sin necesidad de ser experto en seguridad.

De TrueCrypt a VeraCrypt: por qué cambió el panorama del cifrado

TrueCrypt fue durante años el estándar de facto para cifrar discos y carpetas, hasta que en 2014 sus desarrolladores abandonaron el proyecto de forma abrupta. En su web oficial recomendaron dejar de usarlo, alertaron de posibles fallos de seguridad y sugirieron pasarse a BitLocker u otros sistemas de cifrado integrados en Linux y macOS. La última versión, la 7.2, quedó limitada a descifrar volúmenes ya existentes, sin opción de crear nuevos contenedores.

Ante ese vacío, un grupo independiente de desarrolladores lanzó VeraCrypt como bifurcación (fork) del código de TrueCrypt. A partir de ahí han ido corrigiendo vulnerabilidades, endureciendo los parámetros criptográficos e incorporando nuevos algoritmos de cifrado y funciones de seguridad avanzadas. Para muchos, la retirada de TrueCrypt tuvo tanto eco porque era una de las pocas herramientas que complicaban seriamente la labor de agencias como la NSA o el FBI a la hora de acceder a discos incautados.

Hoy la recomendación generalizada es dejar TrueCrypt en el pasado y utilizar exclusivamente VeraCrypt. No solo ha ido subsanando problemas heredados, sino que ha mejorado el rendimiento con soporte para aceleración AES-NI, ha añadido posibilidades de cifrado más flexibles y se mantiene activo con versiones frecuentes y auditorías de seguridad externas.

veracrypt

Qué es VeraCrypt y en qué se diferencia de otras soluciones

VeraCrypt es un software de cifrado de disco “on-the-fly” (OTFE), gratuito y de código abierto, que cifra datos en tiempo real de forma transparente para el usuario. Puedes crear un archivo contenedor que se monta como si fuera una unidad más, cifrar una partición concreta (D:, E:, F:, etc.) o cifrar todo el disco del sistema con autenticación previa al arranque en Windows.

Está disponible para Windows, Linux, macOS y algunos sistemas BSD, lo que lo hace especialmente atractivo para entornos mixtos o para usuarios que cambian de plataforma. En macOS y Linux no cifra la partición de sistema, pero sí contenedores y discos o particiones secundarias, de forma muy similar a lo que hace en Windows.

Una de las grandes ventajas de VeraCrypt es la transparencia de su código: al ser open source, organizaciones y expertos independientes han podido auditarlo. Entidades como QuarksLab o el BSI alemán han revisado su seguridad, se han corregido vulnerabilidades y se han reforzado los parámetros criptográficos por defecto. Además, implementa algoritmos estándar de la industria como AES, Serpent, Twofish, Camellia o Kuznyechik, en modo XTS y con derivación de clave PBKDF2 con cientos de miles de iteraciones para dificultar ataques por fuerza bruta.

En comparación con BitLocker u otras soluciones propietarias, VeraCrypt ofrece un control más granular sobre cómo y qué se cifra, permite volúmenes ocultos con “negación plausible” y funciona en múltiples sistemas operativos. A cambio, no tiene consola de administración centralizada ni integración directa con Active Directory o TPM; para soluciones de autenticación por hardware, consulta Windows Hello for Business, por lo que en empresas grandes suele convivir con herramientas corporativas más “automatizadas”.

Principales características y funciones de VeraCrypt

VeraCrypt está pensado tanto para usuarios domésticos como para entornos profesionales que necesitan cifrado robusto. Estas son sus funciones clave, agrupadas para que veas bien qué puede hacer por ti.

  • Creación de contenedores cifrados. La opción más versátil consiste en generar un archivo que actúa como “disco virtual cifrado”. Ese archivo puede vivir en tu disco interno, en un pendrive, en un disco externo o incluso en un servidor de archivos o almacenamiento en la nube.
  • Cifrado de discos y particiones completas. Si no quieres andar con archivos contenedor, puedes cifrar una partición entera o un disco completo. Esto resulta ideal para memorias USB, tarjetas SD, discos externos o unidades adicionales del PC. W
  • Cifrado de la unidad del sistema con autenticación previa al arranque. Una de las funciones estrella es poder cifrar todo el disco donde se aloja Windows. Al encender el equipo, aparece un pequeño gestor de arranque de VeraCrypt que pide la contraseña (y opcionalmente PIM o archivo clave).
  • Cifrado en tiempo real y acelerado por hardware. El cifrado y descifrado se realizan “al vuelo”, de forma automática. El usuario simplemente ve una unidad más. Si eliges AES y tu procesador soporta AES-NI, el rendimiento de lectura y escritura es muy alto, hasta el punto de que en muchos casos la limitación la marca el propio disco y no el cifrado.
  • Volúmenes ocultos para denegación plausible: VeraCrypt permite crear un volumen “oculto” dentro de otro volumen. Con una contraseña se monta el volumen externo (el “normal”) y con otra diferente se monta el oculto.

veracrypt

Descarga, instalación y modos de uso (instalado o portable)

Lo más sensato es descargar siempre VeraCrypt desde su página oficial, donde encontrarás instaladores para Windows, macOS, Linux, FreeBSD y el código fuente. No hay versión de pago: es completamente gratuito y puedes usarlo sin restricciones.

En Windows, el instalador ofrece dos posibilidades:

  • Instalar el programa en el sistema.
  • Extraer los archivos para usarlo en modo “portable”.

Si tu idea es cifrar el disco del sistema o la partición donde está Windows, es obligatorio instalarlo. Para cifrar pendrives, discos externos u otros medios extraíbles, el modo portable es muy útil, porque puedes copiar el ejecutable al propio dispositivo en una partición sin cifrar y así usarlo en otros ordenadores sin instalar nada.

El asistente de instalación es el típico de cualquier programa: eliges idioma, aceptas licencia, seleccionas si quieres accesos directos en el escritorio o en el menú Inicio, y listo. Al finalizar, VeraCrypt suele ofrecer una guía de inicio para principiantes que conviene leer si es la primera vez que te peleas con este tipo de software.

En Linux y macOS la instalación se realiza con paquetes específicos o compilando desde el código fuente, según la distribución. En cualquier caso, la interfaz y los pasos básicos para crear volúmenes son muy similares a los de Windows, lo que facilita moverse entre plataformas.

Cifrar un contenedor “normal” paso a paso

Para muchos usuarios, el primer contacto con VeraCrypt será crear un contenedor de archivos cifrado. El flujo general, similar en todos los sistemas, es este:

1. Crear volumen. Desde la ventana principal de VeraCrypt, pulsa en “Crear Volumen”. El asistente te preguntará qué quieres hacer; selecciona “Crear un contenedor de archivos cifrado”. A continuación elige “Volumen VeraCrypt común” (el estándar) y no el volumen oculto, que veremos más adelante.

2. Elegir la ubicación y el nombre del archivo contenedor. Usa el botón “Seleccionar archivo” para indicar ruta y nombre. No tienes que elegir un archivo existente, sino escribir cómo quieres que se llame el nuevo contenedor (por ejemplo, “datos_trabajo.hc”). Ese archivo puedes guardarlo en el disco local, en un USB, en un NAS o incluso dentro de una carpeta sincronizada con la nube.

3. Seleccionar algoritmos de cifrado y hash. Por defecto, VeraCrypt propone AES como algoritmo simétrico y SHA-512 o SHA-256 como función hash. AES es el estándar actual y, si tu CPU tiene AES-NI, ofrece un rendimiento excelente. Mediante la opción de “Benchmark” puedes probar distintas combinaciones para ver cuál rinde mejor en tu equipo, aunque para la mayoría de situaciones AES + SHA-256 es más que suficiente.

4. Definir el tamaño del volumen. Indica cuántos megas o gigas tendrá el contenedor. Piensa en el uso que le vas a dar: para unos pocos documentos bastan cientos de MB, pero si quieres meter copias de seguridad completas quizá te interese varios GB o incluso más.

5. Configurar la autenticación: contraseña, archivo llave y PIM. Lo mínimo es establecer una contraseña robusta, mezclando letras mayúsculas y minúsculas, números y símbolos, con una longitud razonable. VeraCrypt avisa si detecta que es demasiado débil. Además, puedes usar archivos llave (cualquier archivo que actúe como parte del secreto) y un valor numérico llamado PIM (Personal Iterations Multiplier) que endurece el proceso de derivación de la contraseña. Combinando estos tres factores se consigue un nivel de protección muy elevado.

6. Elegir el sistema de archivos y generar el volumen. Para contenedores en discos externos suele ser buena idea usar exFAT, para discos internos NTFS y para usos básicos se puede optar por FAT si no habrá archivos de más de 4 GB. Antes de pulsar en “Formatear”, el asistente te pedirá que muevas el ratón de forma aleatoria dentro de la ventana hasta que una barra se ponga en verde: esos movimientos se usan como fuente de entropía para generar claves más impredecibles. Una vez completado el formateo, el volumen ya está listo.

7. Montar y desmontar el contenedor. De vuelta en la ventana principal, selecciona una letra de unidad libre, pulsa “Seleccionar archivo”, apunta al contenedor y haz clic en “Montar”. Introduce la contraseña (y si procede el archivo llave y el PIM) y aparecerá una nueva unidad en “Este equipo”. Todo lo que copies o modifiques allí quedará automáticamente cifrado. Para cerrarlo, basta con “Desmontar” la unidad o usar “Desmontar todo”.

veracrypt

Volúmenes ocultos: cómo funciona la denegación plausible

La función de volumen oculto es una de las más comentadas de VeraCrypt. Su objetivo es permitir que puedas revelar una contraseña “inocua” bajo coacción, manteniendo a salvo los datos realmente sensibles en un volumen cuya existencia no es demostrable.

El esquema básico es el siguiente:

  1. Primero se crea un volumen “externo” (el normal), con su propia contraseña y tamaño.
  2. Dentro del espacio libre de ese volumen se aloja un segundo volumen oculto, con otra clave, otros algoritmos de cifrado si quieres y un tamaño menor.
  3. Al montar el archivo contenedor, VeraCrypt decide qué volumen abrir en función de la contraseña introducida.

Para crear un volumen oculto se usa de nuevo el asistente de creación, eligiendo esta vez la opción “Volumen VeraCrypt oculto”. Se te guía primero por la configuración del volumen externo (cifrado, hash, tamaño, contraseña, sistema de archivos) y después se define el volumen oculto: cuánto espacio ocupará, qué cifrado tendrá y qué contraseña usará.

Es crucial respetar el espacio reservado al volumen oculto. Si el volumen externo tiene por ejemplo 50 MB y el oculto 25 MB, no deberías llenar el externo hasta superar el umbral que pudiera pisar la zona donde reside el oculto. VeraCrypt integra un modo de protección del volumen oculto para reducir riesgos, pero aun así conviene actuar con cabeza y dejar margen.

Cifrar pendrives, tarjetas SD y discos externos completos

Las memorias USB y los discos portátiles son de lo más fácil de perder o de que acaben en manos ajenas, así que son candidatos claros para cifrarlos. Además, puedes combinar el cifrado con bloqueadores de datos USB para mayor protección. Con VeraCrypt puedes protegerlos al completo o manteniendo los datos existentes, según tus necesidades.

1. Seleccionar la opción adecuada en el asistente. Con el dispositivo conectado, pulsa “Crear Volumen” y elige “Cifrar partición/unidad secundaria”. Decide si quieres un volumen común o un volumen oculto, igual que antes. Después, al pulsar en “Seleccionar dispositivo”, elige la partición concreta del pendrive o disco externo.

2. Crear volumen formateando o conservando datos. VeraCrypt ofrece dos variantes: crear un volumen cifrado nuevo formateando la unidad (rápido, pero borra todo) o cifrar la partición conservando los datos (más lento, pero no pierdes nada). En muchos casos, lo más cómodo es hacer copia de seguridad, formatear con VeraCrypt y restaurar archivos después.

3. Configurar cifrado, hash y autenticación. Igual que con los contenedores, eliges algoritmo de cifrado y hash, defines si usarás solo contraseña o también archivo llave y PIM, mueves el ratón para generar entropía y pulsas “Formatear”. El programa avisará de que los datos de la unidad se perderán si has optado por crear volumen desde cero.

4. Montar y usar el dispositivo cifrado. Una vez termina el proceso, el sistema operativo verá la unidad como “sin formato” o pedirá formatearla. Ignora esos mensajes. Para usarla, en VeraCrypt pulsa “Seleccionar dispositivo”, elige la partición cifrada, asigna una letra de unidad libre y monta introduciendo la contraseña. A partir de ese momento aparecerá una nueva unidad (por ejemplo, F:) donde leer y escribir datos, que quedan cifrados de forma transparente.

Cuando termines, desmonta siempre la unidad desde VeraCrypt antes de desconectar el USB o apagar el equipo, igual que “Quitar hardware con seguridad”. Así evitas corrupción de datos y te aseguras de que el volumen queda cerrado correctamente.

veracrypt

Cifrar toda la unidad de Windows con VeraCrypt

El nivel máximo de protección que ofrece VeraCrypt en Windows es cifrar la partición o disco completo donde está instalado el sistema. De este modo, si roban el portátil o alguien se lleva el disco, no podrá arrancar Windows ni leer un solo archivo sin la clave.

Antes de lanzarte, hay que tener ciertas precauciones: hacer una copia de seguridad completa de los datos importantes (en otro disco, en la nube, etc. Consulta nuestra comparativa de métodos de copia de seguridad), asegurarte de que el equipo no se va a quedar sin alimentación durante el proceso (enchufado o con SAI) y, sobre todo, elegir una contraseña que no vayas a olvidar. Si pierdes la clave de arranque, el acceso al sistema se complica muchísimo.

El asistente para cifrar el sistema sigue más o menos estos pasos:

  1. Desde “Crear Volumen” eliges “Cifrar la partición/unidad del sistema entera”.
  2. Seleccionas “Normal” como tipo de cifrado (el modo “Oculto” crea un sistema dentro de otro para escenarios muy específicos).
  3. Decides si vas a cifrar solo la partición de Windows o todo el disco físico.
  4. Indicas si tienes un único sistema operativo (“Arranque simple”) o multiboot.
  5. Mantienes los valores por defecto de cifrado (AES) y hash (SHA-256 o SHA-512) salvo que sepas exactamente por qué cambiarlos.

Llega entonces el momento de fijar la contraseña de arranque. Debe ser memorable para ti, pero compleja: mezcla de caracteres, sin patrones obvios, con cierta longitud. El asistente puede mostrar un aviso si la ve poco robusta, pero eres tú quien asume el riesgo. A continuación, VeraCrypt genera las claves internas pidiéndote que muevas el ratón durante un rato.

Una parte clave del proceso es la creación del disco de rescate. El programa genera una imagen ISO que deberías grabar en un pendrive o en otro soporte seguro. Ese disco permite restaurar el gestor de arranque de VeraCrypt y recuperar el sistema ante ciertos fallos, aunque siempre necesitarás la contraseña. Puedes elegir saltarte la verificación del disco de rescate, pero no es recomendable.

Antes de cifrar realmente el disco, VeraCrypt hace una “prueba de arranque”. El equipo se reinicia, aparece el prompt de VeraCrypt pidiendo la clave de descifrado y, si todo va bien, Windows arranca como siempre. De vuelta en el escritorio, el programa te indicará que la prueba ha sido satisfactoria y ya podrás iniciar el cifrado real de la unidad del sistema.

Por qué merece la pena cifrar tus archivos y dispositivos

Más allá de la parte técnica, lo importante es entender los escenarios en los que cifrar datos marca la diferencia. No se trata de paranoia, sino de reducir riesgos muy realistas en el día a día.

Almacenar archivos en la nube sin cifrado añade una superficie de ataque extra. Aunque los grandes proveedores aplican su propia seguridad, conviene saber cómo gestionar metadatos en Office y Windows, pueden aparecer vulnerabilidades, accesos indebidos por parte de empleados con privilegios, errores de configuración o simples despistes del usuario. Si subes a la nube archivos previamente cifrados con VeraCrypt (contenedores o copias de seguridad), incluso una filtración masiva deja tus datos ilegibles sin la clave.

En equipos compartidos, tanto en casa como en la oficina, el cifrado evita miradas curiosas. Si varias personas usan el mismo ordenador o si en el trabajo otros compañeros tienen acceso físico al equipo, un contenedor cifrado es una frontera muy clara: sin la contraseña no se puede acceder al contenido, por mucha confianza que haya.

Frente a malware y accesos remotos no autorizados, cifrar datos añade una capa adicional. Un troyano que consigue colarse en tu sistema puede robar archivos en claro sin problema, pero si lo único que encuentra son volúmenes cifrados cerrados, la información que se lleva no le sirve. Obviamente no sustituye a un buen antivirus ni a un sistema actualizado (consulta seguridad online en Windows), pero suma protección.

Si alguna de tus cuentas se ve comprometida (por ejemplo, la del servicio en la nube donde guardas un contenedor, o el correo donde enviaste un archivo cifrado), el atacante solo verá un bloque de datos aparentemente aleatorios. Aquí se nota la diferencia entre enviar un PDF sensible tal cual o hacerlo dentro de un ZIP cifrado o de un volumen VeraCrypt.

En el mundo empresarial y profesional, muchas leyes obligan a cifrar determinados datos. Normativas de protección de datos, prevención de blanqueo de capitales, secreto profesional de abogados o entidades sanitarias exigen cifrar información sensible o, como mínimo, recomiendan explícitamente el cifrado como medida de seguridad adecuada. Herramientas como VeraCrypt ayudan a cumplir esos requisitos, siempre que se acompañen de una buena gestión de claves y políticas internas adecuadas.

Ventajas e inconvenientes reales de cifrar con VeraCrypt

Cualquier sistema de cifrado serio tiene beneficios claros, pero también algunos peajes que conviene conocer para no llevarse sorpresas.

Entre sus ventajas destacan el coste cero, la transparencia y la flexibilidad. VeraCrypt es gratuito, de código abierto, funciona en varios sistemas operativos y ofrece distintos niveles de protección (contenedores, discos secundarios, sistema completo, volúmenes ocultos…). Además, soporta una gama amplia de algoritmos criptográficos validados internacionalmente y ha pasado por auditorías independientes.

El nivel de seguridad que ofrece es muy alto siempre que la contraseña y la gestión de claves sean correctas. El uso de PBKDF2 con muchas iteraciones, sumado a la posibilidad de usar archivos llave y PIM, hace que los ataques por fuerza bruta sean extremadamente costosos. Si a eso se le añaden buenas prácticas (contraseñas únicas, gestores como KeePassXC o Bitwarden, copias del encabezado del volumen), el resultado es un sistema muy resistente.

En el lado negativo, la principal desventaja es que perder la clave suele equivaler a perder los datos. VeraCrypt no tiene un sistema de recuperación mágico ni puertas traseras: si olvidas la contraseña y no tienes copias de seguridad ni respaldo del encabezado, el cifrado hace exactamente lo que debe hacer, que es impedir el acceso incluso al propietario legítimo distraído.

Otra pega es el impacto en el rendimiento en hardware antiguo o sin AES-NI. En equipos modernos con procesadores que aceleran AES por hardware, la caída de rendimiento es mínima y muchas veces imperceptible. Pero en máquinas viejas o si usas algoritmos en cascada muy pesados, el acceso al disco puede volverse más lento, especialmente con volúmenes muy grandes.

También hay limitaciones de compatibilidad y facilidad de uso. El cifrado de sistema solo está disponible en Windows, no se integra con TPM ni con soluciones de administración remota propias de grandes empresas, y la interfaz puede parecer intimidante a usuarios poco acostumbrados a conceptos como volúmenes, particiones o algoritmos de cifrado. Es una herramienta potente, pero no es el “siguiente siguiente finalizar” de un asistente simplificado.

Por último, cifrar siempre implica cierto riesgo adicional de corrupción: si un archivo cifrado se daña, la recuperación resulta más complicada que en un archivo en claro. De ahí la importancia de hacer copias de seguridad periódicas y desmontar los volúmenes de forma correcta antes de apagar o desconectar dispositivos.

Si pones en la balanza el esfuerzo de aprender a usar VeraCrypt y el pequeño coste de rendimiento frente a lo que ganas en privacidad, cumplimiento normativo y protección ante pérdidas, robos o ataques, queda bastante claro por qué esta herramienta se ha convertido en la referencia para cifrar datos de forma seria tanto en entornos domésticos como en empresas, siempre que se acompañe de contraseñas bien gestionadas y de un mínimo de disciplina al manejar los volúmenes cifrados.

Seguridad online en Windows: cómo protegerte de hackeos y ataques informáticos
Artículo relacionado:
Seguridad online en Windows: protege tu PC de hackeos y ataques