BitLocker pide clave de recuperación en Windows 11 24H2/25H2: guía helpdesk (KB5083769, Entra ID)

Si gestionas un helpdesk en 2026, seguro que has notado un repunte de tickets con el mismo asunto: "Windows 11 me pide una clave de recuperación de BitLocker al arrancar". No es coincidencia. Desde la actualización opcional KB5083769 (abril de 2026), miles de equipos con Windows 11 24H2 y 25H2 entran en modo de recuperación tras una actualización rutinaria de firmware, un cambio en Secure Boot o, simplemente, después de instalar parches acumulativos.

Honestamente, en mi experiencia esta es una de esas semanas en las que parece que medio departamento llama por lo mismo. Y no es culpa del usuario, ojo.

Esta guía está pensada para técnicos de soporte de primer y segundo nivel. Cubre cómo localizar la clave en Microsoft Entra ID, Active Directory local y la cuenta personal del usuario, cómo diagnosticar la causa raíz con manage-bde y PowerShell, y cómo evitar que el escritorio del usuario se convierta en una pantalla azul con un cuadro de texto pidiendo 48 dígitos. Vamos al grano.

¿Por qué Windows 11 pide la clave de recuperación de BitLocker?

BitLocker no falla "porque sí". El cifrado de unidad está sellado contra el TPM (Trusted Platform Module), que mide el estado del arranque (PCRs, Platform Configuration Registers). Cuando alguna de esas mediciones cambia, el TPM bloquea la liberación automática de la clave y obliga al usuario a introducir la clave de recuperación de 48 dígitos.

Dicho de otra forma: BitLocker está haciendo justo lo que tiene que hacer. El problema no es el cifrado, es el cambio inesperado en el arranque.

En 2026, las causas más frecuentes de un prompt de recuperación inesperado son:

• KB5083769 y posteriores acumulativas (Windows 11 24H2/25H2): alteran las mediciones de Secure Boot al actualizar el bootloader, especialmente si el equipo no tenía instaladas las DBX (lista de revocación UEFI).
• Actualizaciones de firmware/BIOS: nuevos hashes en PCR[0] o PCR[7].
• Cambios en la configuración UEFI: activar o desactivar Secure Boot, TPM, virtualización (VBS), o cambiar el orden de arranque.
• Habilitar/deshabilitar el chip TPM o borrar sus claves desde la BIOS.
• Cambio de hardware: nueva placa base, sustitución del SSD/NVMe, o conexión del disco a otro equipo.
• Modo automatic device encryption en equipos OOBE: muchos usuarios desconocen que el disco se cifró el primer día (sí, el mismo día que sacaron el portátil de la caja).
• Memory integrity (HVCI) o VBS activados/desactivados después del cifrado.

Cómo localizar la clave de recuperación de BitLocker

La regla de oro para el helpdesk: nunca pidas al usuario que reinstale o formatee antes de agotar las cuatro ubicaciones donde puede estar guardada la clave. He visto demasiadas veces el atajo del "formato rápido" — y luego el usuario llamando porque tenía dos años de hojas de cálculo en el escritorio.

1. Microsoft Entra ID (cuentas corporativas / Azure AD joined)

Es donde se almacenan las claves para equipos unidos a Entra ID o registrados en Intune. Como técnico, accede a:

https://entra.microsoft.com → Devices → All devices → [seleccionar equipo] → BitLocker keys

Si gestionas muchos dispositivos, obtén la clave directamente con Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "BitlockerKey.Read.All","Device.Read.All"

# Buscar el dispositivo por nombre
$device = Get-MgDevice -Filter "displayName eq 'EQUIPO-USR123'"

# Recuperar las claves asociadas
Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$($device.DeviceId)'" |
    ForEach-Object {
        Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $_.Id -Property "key"
    } | Select-Object Id, VolumeType, Key

2. Active Directory local (dominios on-prem)

Si el equipo está unido a un AD tradicional con la GPO "Choose how BitLocker-protected operating system drives can be recovered" activa, la clave estará en el objeto del equipo. Búscala con:

Get-ADComputer "EQUIPO-USR123" |
    Get-ADObject -Properties msFVE-RecoveryPassword -SearchBase $_.DistinguishedName `
                 -Filter "objectClass -eq 'msFVE-RecoveryInformation'" |
    Select-Object Name, msFVE-RecoveryPassword

O directamente en la consola "Active Directory Users and Computers", pestaña BitLocker Recovery del objeto del equipo (requiere instalar las herramientas RSAT de BitLocker, que casi nadie tiene preinstaladas, así que prepárate).

3. Cuenta personal de Microsoft

Para equipos no corporativos (Home, Pro sin dominio), Windows guarda la clave automáticamente en la cuenta del usuario. El usuario puede recuperarla desde otro dispositivo en:

https://account.microsoft.com/devices/recoverykey

4. Copia de seguridad local (USB o impresa)

Algunas organizaciones permiten al usuario imprimir o guardar la clave en un USB durante el cifrado inicial. Pídele al usuario que revise documentos PDF llamados BitLocker Recovery Key XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX.txt. Y sí, también vale la pena preguntar por papeles físicos — más de una clave la hemos encontrado en la carpeta del onboarding del usuario.

Procedimiento paso a paso para resolver el ticket

Fase 1: Identificar el equipo y la unidad afectada

En la pantalla azul, Windows muestra el Recovery Key ID (los 8 primeros caracteres). Pide al usuario ese ID — te permitirá filtrar la clave correcta cuando un equipo tenga varias claves históricas. Esto es importantísimo si el equipo lleva años en la flota: a veces hay tres o cuatro claves rotadas y elegir la equivocada es perder media hora.

Fase 2: Entregar la clave de forma segura

Nunca envíes los 48 dígitos por correo no cifrado o chat público. Buenas prácticas:

• Verifica la identidad del usuario por canal alternativo (Teams call, factor MFA push).
• Comparte la clave en Microsoft Teams chat con caducidad o usa Privileged Access Management si tu organización lo tiene.
• Después del desbloqueo, considera la clave quemada y rota: ejecuta manage-bde -protectors -delete C: -type RecoveryPassword seguido de manage-bde -protectors -add C: -RecoveryPassword y reescala a Entra ID.

Fase 3: Diagnosticar la causa raíz

Una vez el equipo arranca, abre PowerShell como administrador y ejecuta:

# Estado general de los protectores
manage-bde -status C:

# Ver qué PCRs están vinculados al TPM
manage-bde -protectors -get C: -type tpm

# Listado de eventos de BitLocker en las últimas 72 horas
Get-WinEvent -FilterHashtable @{
    LogName='Microsoft-Windows-BitLocker/BitLocker Management';
    StartTime=(Get-Date).AddHours(-72)
} | Format-Table TimeCreated, Id, Message -Wrap

Los códigos de evento más reveladores son:

• 24620: el TPM rechazó liberar la clave por cambio de PCR.
• 24586: error de validación de integridad de arranque.
• 846 / 851: backup de la clave a Entra ID correcto/fallido.

Fase 4: Reescala la clave (rotación obligatoria)

Si la clave salió por canales no cifrados, rótala. Sin excepciones. Si gestionas cientos de equipos vía Intune, lanza una acción remota:

https://intune.microsoft.com → Devices → [equipo] → BitLocker key rotation

O por PowerShell directamente en el endpoint:

$BLV = Get-BitLockerVolume -MountPoint "C:"
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId

Cómo prevenir el prompt de recuperación antes de actualizaciones

La mejor herramienta del helpdesk es la prevención. Antes de aplicar BIOS, KBs grandes o cambios en UEFI, suspende BitLocker durante n reinicios:

# Suspender hasta el siguiente reinicio
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# Suspender durante 3 reinicios (útil si se aplican múltiples KBs en cadena)
Suspend-BitLocker -MountPoint "C:" -RebootCount 3

Para flotas, despliega un script previo a Windows Update con Intune Proactive Remediation o un GPO startup script. Microsoft también añadió en KB5083769 el switch /SuspendBitLocker a wusa.exe, aunque su soporte sigue siendo limitado (yo no me fiaría todavía).

Configuración de políticas para que la clave SIEMPRE esté disponible

Si llegas a un ticket y la clave no aparece en ningún sitio, normalmente es por una GPO mal configurada. Asegúrate de aplicar:

• "Do not enable BitLocker until recovery information is stored in AD DS / Entra ID" — bloquea el cifrado hasta haber subido la clave.
• "Choose how BitLocker-protected operating system drives can be recovered" con la opción Save BitLocker recovery information to Active Directory Domain Services o Microsoft Entra ID.
• "Allow Secure Boot for integrity validation" activado para reducir falsos positivos al actualizar el bootloader.

En Intune, la ruta equivalente es Endpoint security → Disk encryption → BitLocker, configurando "Save BitLocker recovery information to Microsoft Entra ID" en Required.

Errores frecuentes y cómo evitarlos

• Reinstalar Windows en lugar de buscar la clave: en el 90 % de los casos la clave existe en Entra ID o AD. Reinstalar elimina datos del usuario sin necesidad.
• Deshabilitar BitLocker permanentemente tras un incidente: viola muchas políticas de cumplimiento (ISO 27001, ENS, RGPD). Suspende y reactiva, no descifres.
• Compartir la clave por correo: abre un vector de exfiltración si el buzón se ve comprometido. Usa Teams, OneDrive con caducidad o un PAM.
• Olvidar rotar la clave tras la entrega: la clave debe considerarse "expuesta" cualquier vez que un técnico la lee. Sin paranoia, no hay seguridad.

Preguntas frecuentes (FAQ)

¿Puedo desactivar BitLocker desde la pantalla de recuperación sin la clave?

No. Sin la clave de 48 dígitos no es posible acceder al volumen cifrado. La única alternativa es formatear la unidad, lo que destruye los datos. Por eso es crítico que las claves se guarden automáticamente en Entra ID o AD antes del cifrado.

¿Es seguro usar la misma clave de recuperación tras desbloquear el equipo?

No. Una vez la clave ha sido leída por un técnico o transmitida por canales humanos, debe rotarse. Usa BackupToAAD-BitLockerKeyProtector o la acción "Rotate BitLocker keys" en Intune para generar y subir una nueva.

¿Por qué KB5083769 está provocando tantos prompts en abril de 2026?

La actualización modifica el bootmgr y, en equipos donde la lista de revocación UEFI (DBX) no estaba al día, cambia las mediciones de PCR[7]. El TPM detecta el cambio y bloquea la liberación automática de la clave. Microsoft recomienda aplicar primero la actualización de DBX vía Servicing Stack Update y suspender BitLocker durante la instalación.

¿Dónde encuentro la clave si el equipo es personal y no usé cuenta Microsoft?

Si nunca iniciaste sesión con una cuenta Microsoft y no exportaste la clave a USB ni la imprimiste, no hay forma de recuperarla. Es uno de los pocos escenarios donde se pierde el acceso al disco. Para uso doméstico, siempre añade tu cuenta Microsoft o exporta la clave a OneDrive/un gestor de contraseñas. En serio, hazlo hoy.

¿Cómo verifico que la clave está bien guardada en Entra ID antes de aplicar parches?

Ejecuta en el equipo: (Get-BitLockerVolume -MountPoint C:).KeyProtector | Where-Object KeyProtectorType -eq "RecoveryPassword". Si existe un protector de tipo RecoveryPassword, comprueba en entra.microsoft.com que aparece en la pestaña BitLocker keys del dispositivo. Si no, fuerza el backup con BackupToAAD-BitLockerKeyProtector.

Conclusión

El prompt de clave de recuperación de BitLocker no es un error — es BitLocker funcionando exactamente como se diseñó. Para un helpdesk en 2026, la diferencia entre un ticket de 5 minutos y uno de 4 horas está en tres cosas: tener las claves bien escaladas en Entra ID o AD, conocer los comandos de manage-bde y PowerShell para diagnosticar PCR y eventos, y suspender BitLocker proactivamente antes de cada cambio de firmware o KB grande.

Convierte estos pasos en un runbook interno y enlázalo desde tu sistema de ticketing. La próxima vez que aterrice un ticket "no me arranca el portátil después de actualizar", el técnico ya sabrá exactamente qué consulta lanzar primero. Y tu media de TTR (time to resolution) te lo agradecerá.