Cifrado completo de disco en 2026: LUKS, BitLocker, FileVault y VeraCrypt comparados
published 12 de junio de 2026 · #cifrado #luks #opsec
El cifrado completo de disco (FDE — Full Disk Encryption) es uno de los pocos controles de seguridad que ofrece una garantía casi absoluta en un modelo de amenaza claramente delimitado: si alguien toma físicamente tu dispositivo mientras está apagado, no puede leer tus archivos. En 2026, todos los principales sistemas operativos de escritorio y portátil incluyen FDE activado por defecto o a un solo clic.
Esta guía cubre las cuatro soluciones dominantes — LUKS2 en Linux, BitLocker en Windows, FileVault en macOS y VeraCrypt como opción multiplataforma — y te da la base factual para elegir, configurar y operar cada una correctamente.
Lo que el cifrado completo de disco realmente protege
El escenario clásico es un portátil robado. Tu disco está cifrado con una contraseña robusta. El ladrón arranca un USB live, monta el disco y solo encuentra texto cifrado. Sin la clave, los datos son ilegibles.
Lo que FDE no protege
El cifrado completo de disco protege los datos en reposo. Una vez que el OS ha arrancado y descifrado el volumen, los datos son accesibles para cualquier proceso que se ejecute en ese sistema — incluyendo malware.
Ataques evil maid. Si un atacante tiene acceso físico a un dispositivo apagado, arranca un OS live, modifica tu gestor de arranque o kernel y devuelve el dispositivo antes de que lo notes, puede capturar tu contraseña la próxima vez que la escribas.
LUKS2 en Linux
LUKS (Linux Unified Key Setup) es la solución estándar de cifrado de disco para Linux. LUKS2 es la versión actual, integrada en el núcleo Linux vía dm-crypt.
Algoritmo por defecto: AES-256 en modo XTS, con PBKDF2 o Argon2id para la derivación de claves. Argon2id es preferible para nuevas configuraciones — es resistente a ataques de GPU y ataques de memoria variable.
Para las copias de seguridad en la nube, FDE no protege los datos respaldados a menos que hayas cifrado antes de subir.
BitLocker en Windows
BitLocker es el cifrado completo de disco de Microsoft, disponible en las ediciones Pro, Enterprise y Education de Windows 10 y 11.
Modos de funcionamiento: BitLocker puede funcionar con solo TPM (totalmente transparente para el usuario, protección limitada), con TPM + PIN (recomendado), o con una llave USB como factor de arranque.
El modo solo TPM es lo que la mayoría de los usuarios tienen sin saberlo. En este modo, BitLocker descifra automáticamente el disco si la cadena de arranque no ha sido alterada. Protección contra robo — sí. Protección contra alguien que arranca tu propio OS — no.
FileVault en macOS
FileVault es la implementación de cifrado completo de disco de Apple para macOS. En los Macs con Apple Silicon (M1 y posteriores), está activado por defecto y profundamente integrado con el chip T2/Secure Enclave.
En Apple Silicon, el cifrado se aplica a nivel de hardware por el SoC de Apple Silicon. La clave de descifrado está vinculada al Secure Enclave y nunca sale del chip.
VeraCrypt: la opción multiplataforma
VeraCrypt es el sucesor de TrueCrypt, la solución de cifrado multiplataforma más utilizada antes de que su desarrollo se suspendiera en 2014. VeraCrypt se mantiene activamente, es de código abierto y soporta Windows, macOS y Linux.
Volúmenes ocultos: VeraCrypt soporta volúmenes ocultos con negación plausible — dos contraseñas que dan acceso a dos volúmenes diferentes, sin forma de probar la existencia del segundo.
Tabla comparativa
| Solución | OS | Tipo de cifrado | Código abierto | Integración TPM |
|---|---|---|---|---|
| LUKS2 | Linux | Volumen | Sí | Vía systemd-cryptenroll |
| BitLocker | Windows | Disco completo | No | Sí (recomendado) |
| FileVault | macOS | Disco completo | No | Sí (Secure Enclave) |
| VeraCrypt | Todos | Volumen / Sistema | Sí | Limitado |
Recomendaciones prácticas
Si usas Linux: activa LUKS2 durante la instalación con Argon2id. No olvides hacer una copia de seguridad de tu cabecera LUKS.
Si usas Windows: activa BitLocker con un PIN además del TPM. Haz una copia de seguridad de tu clave de recuperación.
Si usas macOS: activa FileVault si no está ya activado.
Para todos los OS: FDE solo protege los datos en reposo. Combínalo con una política de cifrado para tus copias de seguridad en la nube.
Para cobertura de los sistemas operativos que integran FDE en su arquitectura de seguridad más amplia, consulta nuestras guías sobre Qubes OS y Tails OS.