Categoría Sistema Operativo Windows
Categoría Sistema Operativo Windows

Recuperar archivos o carpetas cifradas

Recuperar archivos o carpetas cifradas

Qué es el cifrado EFS y para qué sirve

El Encrypting File System, conocido por sus siglas EFS, es una funcionalidad de seguridad integrada en los sistemas operativos Windows que permite cifrar archivos y carpetas individuales para proteger su contenido frente a accesos no autorizados. A diferencia del cifrado completo de disco que ofrece BitLocker, el cifrado EFS actúa a nivel de archivo, lo que significa que cada elemento protegido se descifra de forma transparente cuando el usuario legítimo inicia sesión con su cuenta, pero permanece completamente inaccesible para cualquier otro perfil, incluso si se extrae el disco duro y se conecta a otro equipo.

El propósito fundamental de EFS es proporcionar una capa adicional de confidencialidad para documentos sensibles en entornos compartidos o en dispositivos portátiles susceptibles de robo o pérdida. Cuando un usuario cifra una carpeta o archivo, Windows genera un certificado digital único que contiene una clave privada, la cual queda almacenada de forma segura en el perfil de ese usuario. Esta clave es absolutamente indispensable para descifrar el contenido: sin ella, los archivos cifrados se convierten en un conjunto de datos ilegibles, mostrando un característico icono de candado amarillo en el Explorador de archivos.

El cifrado EFS está disponible en las ediciones Professional, Enterprise y Education de Windows 10 y Windows 11. Las ediciones Home de ambos sistemas operativos no incluyen soporte completo para EFS, por lo que no pueden cifrar archivos con esta tecnología ni, en muchos casos, descifrarlos aunque se disponga del certificado correcto.

¿Te has encontrado con archivos que muestran un candado y no puedes abrirlos, o has formateado el equipo sin hacer copia del certificado EFS? A continuación te explicamos todas las vías posibles para recuperar el acceso.

Qué necesitas saber antes de empezar

Antes de intentar cualquier procedimiento de recuperación, es fundamental que comprendas un principio básico del cifrado EFS: sin el certificado original o una copia de seguridad del mismo, las posibilidades de recuperar los archivos son prácticamente nulas. El cifrado EFS utiliza algoritmos criptográficos robustos que no pueden ser vulnerados por herramientas convencionales. Microsoft no almacena copias de las claves privadas de EFS en ningún servidor, ni siquiera cuando se utiliza una cuenta de Microsoft para iniciar sesión.

Es importante distinguir claramente entre BitLocker y EFS, ya que muchos usuarios confunden ambos sistemas de protección. BitLocker cifra toda la unidad de disco y su clave de recuperación puede estar vinculada a la cuenta de Microsoft, lo que permite recuperar el acceso incluso después de formatear el equipo. EFS, en cambio, protege archivos concretos y su clave está ligada exclusivamente al perfil de usuario local. La clave de recuperación de BitLocker no sirve para descifrar archivos EFS, y viceversa.

Si has formateado el equipo o has perdido el acceso al perfil de usuario original, aún existe una esperanza si conservas el disco duro antiguo o una copia de seguridad completa del sistema.

En estos casos, es posible que el certificado EFS siga residiendo en la carpeta de perfil del usuario original, en ubicaciones como C:\Users\[nombre_usuario]\AppData\Roaming\Microsoft\SystemCertificates\My o dentro de los archivos ocultos de la cuenta. Si el disco duro original sigue siendo legible, existen herramientas especializadas que pueden extraer el certificado incluso sin poder arrancar Windows.

Cómo recuperar archivos o carpetas cifradas con EFS

Método 1: Descifrar desde la cuenta de usuario original

  1. Inicia sesión en el equipo con la misma cuenta de usuario que se utilizó para cifrar los archivos.
  2. Abre el Explorador de archivos y navega hasta la ubicación del archivo o carpeta que muestra el icono de candado amarillo.
  3. Haz clic derecho sobre el elemento cifrado y selecciona Propiedades en el menú contextual.
  4. En la ventana de propiedades, haz clic en la pestaña General y localiza el botón Opciones avanzadas.
  5. En la nueva ventana, busca la sección Atributos de compresión y cifrado y desmarca la casilla Cifrar contenido para proteger datos.
  6. Haz clic en Aceptar para cerrar la ventana de Opciones avanzadas y pulsa Aplicar en la ventana de propiedades.
  7. El sistema preguntará si deseas aplicar el cambio solo a la carpeta o también a todas las subcarpetas y archivos. Selecciona la opción que corresponda y pulsa Aceptar.

Método 2: Usar el comando cipher en el Símbolo del sistema

  1. Haz clic derecho sobre el botón de Inicio y selecciona Símbolo del sistema (Administrador) o Windows Terminal (Administrador).
  2. Para descifrar una carpeta específica y todo su contenido, escribe el siguiente comando y pulsa Enter: cipher /d /s:"C:\ruta\completa\de\la\carpeta".
  3. Si deseas descifrar un único archivo, utiliza el comando sin el parámetro /s: cipher /d "C:\ruta\completa\del\archivo.ext".
  4. El sistema procesará la solicitud y mostrará un mensaje de confirmación indicando que el archivo o carpeta ha sido descifrado correctamente.
  5. Para verificar el estado de cifrado de los archivos en una ubicación, puedes ejecutar cipher "C:\ruta\de\la\carpeta" sin parámetros adicionales.

Método 3: Restaurar el certificado EFS desde una copia de seguridad

  1. Localiza el archivo de copia de seguridad del certificado EFS. Generalmente tiene extensión .pfx o .p12.
  2. Pulsa las teclas Windows + R para abrir el cuadro de diálogo Ejecutar.
  3. Escribe certmgr.msc y pulsa Enter para abrir el Administrador de certificados.
  4. En el panel izquierdo, despliega la carpeta Personal y haz clic derecho sobre la subcarpeta Certificados.
  5. Selecciona Todas las tareas y a continuación Importar.
  6. Sigue los pasos del Asistente para importación de certificados, localiza el archivo .pfx e introduce la contraseña que protege el certificado si se configuró una durante la exportación.
  7. Marca las opciones Marcar esta clave como exportable e Incluir todas las propiedades extendidas y completa la importación.
  8. Una vez importado el certificado, repite el Método 1 para descifrar los archivos.

Método 4: Extraer el certificado EFS de un disco duro antiguo o copia de seguridad

  1. Conecta el disco duro antiguo al equipo actual mediante un adaptador USB o instálalo como unidad secundaria.
  2. Navega hasta la carpeta del perfil de usuario antiguo, ubicada generalmente en X:\Users\[nombre_usuario] donde X: es la letra de la unidad del disco antiguo.
  3. Activa la visualización de archivos ocultos y de sistema desde las Opciones del Explorador de archivos.
  4. Busca archivos con extensión .pfx en las carpetas AppData\Roaming\Microsoft\SystemCertificates\My\Certificates y AppData\Roaming\Microsoft\Crypto\RSA del perfil antiguo.
  5. Si encuentras un archivo .pfx, cópialo a una ubicación segura en tu equipo actual y sigue el Método 3 para importarlo.
  6. Si no encuentras ningún archivo.pfx, puedes recurrir a herramientas especializadas como Advanced EFS Data Recovery o Elcomsoft Distributed Password Recovery, que son capaces de escanear el disco antiguo en busca de claves EFS incluso si el sistema no puede arrancar.

Para verificar que el proceso ha funcionado correctamente, comprueba que el icono de candado amarillo ha desaparecido del archivo o carpeta y que puedes abrir su contenido sin errores. Si utilizaste el comando cipher, la herramienta mostrará un mensaje explícito de confirmación para cada archivo procesado. En caso de haber importado un certificado, puedes verificar su presencia abriendo certmgr.msc y comprobando que aparece en la carpeta Personal > Certificados.

Problemas frecuentes y cómo resolverlos

Formateé el equipo y no hice copia del certificado EFS, ¿hay solución?

Esta es la situación más grave en el contexto del cifrado EFS. Si has formateado completamente el disco duro sin exportar previamente el certificado EFS y no dispones de ninguna copia de seguridad del perfil de usuario, la recuperación es técnicamente imposible mediante herramientas nativas de Windows. Ni siquiera iniciar sesión con la misma cuenta de Microsoft servirá de nada, ya que EFS no vincula sus claves a la cuenta en línea. La única esperanza viable en este escenario es recurrir a empresas especializadas en recuperación de datos forense, aunque los costes son elevados y el éxito no está garantizado.

Los archivos muestran el candado pero puedo abrirlos con normalidad

Este comportamiento es completamente normal y esperado en el funcionamiento de EFS. El candado amarillo indica que el archivo está cifrado, pero Windows lo descifra de forma transparente cuando el usuario que posee la clave inicia sesión. No necesitas hacer nada especial para trabajar con estos archivos. Si deseas eliminar el cifrado permanentemente, sigue los pasos del Método 1 para desmarcar la casilla Cifrar contenido para proteger datos.

Tengo el disco duro antiguo pero el sistema no arranca desde él

Si el disco duro original está físicamente intacto pero el sistema operativo no arranca, aún puedes recuperar el certificado EFS. Conecta el disco como unidad secundaria en otro equipo y utiliza herramientas como Advanced EFS Data Recovery de Elcomsoft. Este tipo de software puede escanear el registro de Windows y los archivos del perfil de usuario en el disco no arrancable para localizar y reconstruir las claves privadas de EFS. Una vez extraído el certificado, puedes importarlo en el nuevo equipo siguiendo el Método 3.

La opción Cifrar contenido está atenuada o no aparece en Windows 11 Home

Las ediciones Home de Windows 10 y Windows 11 no incluyen soporte completo para el cifrado EFS. En estos sistemas, la opción «Cifrar contenido para proteger datos» puede aparecer atenuada o no estar disponible. Si necesitas descifrar archivos EFS que fueron creados en un equipo con Windows Professional, la edición Home no podrá procesarlos incluso si dispones del certificado correcto. La solución consiste en utilizar temporalmente un equipo con Windows Pro, importar el certificado, descifrar los archivos y luego copiarlos de vuelta al equipo con Windows Home.

Exporté el certificado pero al importarlo pide una contraseña que no recuerdo

Durante el proceso de exportación de un certificado EFS, Windows ofrece la opción de proteger el archivo.pfx con una contraseña. Si configuraste una contraseña en aquel momento y no la recuerdas, la situación es prácticamente irreversible. No existe ningún método legítimo para recuperar o saltar la contraseña de un archivo.pfx, ya que está protegido con cifrado robusto. Las herramientas de recuperación de contraseñas por fuerza bruta pueden intentar atacar el archivo, pero el proceso puede llevar años si la contraseña es medianamente compleja.

Consejos para sacar más partido y evitar la pérdida de datos

La mejor estrategia frente al cifrado EFS es la prevención. Siempre que actives el cifrado EFS en una carpeta importante, Windows mostrará una notificación en el área de sistema recomendando hacer una copia de seguridad del certificado. No ignores este aviso. Haz clic en la notificación y sigue el asistente para exportar el certificado a un archivo.pfx protegido con contraseña. Guarda este archivo en al menos dos ubicaciones seguras y desconectadas del equipo, como una memoria USB almacenada en un cajón o un servicio de almacenamiento en la nube con verificación en dos pasos.

Para entornos profesionales o empresariales, considera la implementación de un Agente de recuperación de datos (DRA, por sus siglas en inglés). Se trata de una política de seguridad que designa una cuenta de administrador específica como autoridad de recuperación, capaz de descifrar cualquier archivo EFS del dominio. Esta configuración se realiza mediante las Directivas de grupo y garantiza que, incluso si un empleado abandona la empresa o pierde su perfil, los datos cifrados puedan ser recuperados por el departamento de TI sin depender de copias de certificados individuales.

Si utilizas Windows 11 Pro y manejas archivos muy sensibles, evalúa la posibilidad de combinar el cifrado EFS con BitLocker. Aunque son tecnologías independientes, su uso conjunto proporciona una defensa en profundidad. BitLocker protege contra el robo físico del disco duro impidiendo que se pueda acceder a los datos sin la clave de recuperación, mientras que EFS protege los archivos individuales frente a otros usuarios del mismo equipo o frente a accesos no autorizados a través de la red. Esta combinación es especialmente recomendable en equipos portátiles que viajan fuera de la oficina.

Por último, si has sufrido una pérdida de acceso a archivos EFS y estás considerando recurrir a herramientas de terceros, ten presente que muchas aplicaciones que prometen descifrar EFS sin certificado son fraudulentas o contienen malware. Las únicas herramientas con cierta reputación en el ámbito de la recuperación forense son Advanced EFS Data Recovery de Elcomsoft, Passware Kit Forensic y algunas utilidades específicas de empresas de seguridad informática. Ninguna de ellas es gratuita y todas requieren que el disco duro original con el perfil de usuario siga estando disponible y legible.

Compatibilidad con diferentes versiones de Windows

La funcionalidad de cifrado EFS está disponible en las ediciones Professional, Enterprise y Education de Windows 10 y Windows 11, así como en sus equivalentes de versiones anteriores como Windows 8.1 y Windows 7. En todas estas versiones, el procedimiento para descifrar archivos, exportar certificados y utilizar el comando cipher es prácticamente idéntico.

Las ediciones Home de cualquier versión de Windows no incluyen soporte para EFS, por lo que no pueden cifrar archivos con esta tecnología ni descifrarlos aunque se importe manualmente el certificado.

En sistemas macOS, el equivalente funcional a EFS es la capacidad de crear imágenes de disco cifradas mediante la Utilidad de Discos o el cifrado de carpetas con FileVault. Aunque el concepto es similar, la implementación técnica es completamente diferente y los archivos cifrados con EFS de Windows no pueden ser descifrados directamente en macOS sin herramientas de terceros especializadas. En Linux, el cifrado de archivos individuales suele gestionarse mediante herramientas como GnuPG o eCryptfs, que tampoco son compatibles con el formato EFS de Microsoft.

En dispositivos Android e iOS, el cifrado de archivos se gestiona a nivel de sistema mediante el cifrado completo del dispositivo, no a nivel de archivo individual como hace EFS. Por tanto, no existe un equivalente directo de esta funcionalidad en plataformas móviles. Si necesitas acceder a archivos cifrados con EFS desde un dispositivo móvil, la única opción viable es descifrarlos previamente en un equipo con Windows Pro y luego transferirlos.

Preguntas frecuentes

¿Puedo recuperar archivos cifrados con EFS si he formateado el equipo y no tengel certificado?

Sin una copia de seguridad del certificado EFS o sin el disco duro original con el perfil de usuario intacto, la recuperación es técnicamente imposible mediante herramientas nativas de Windows. Ni siquiera Microsoft puede ayudarte en este escenario. Las únicas alternativas son las herramientas forenses especializadas si aún conservas el disco original, o los servicios profesionales de recuperación de datos, que no garantizan el éxito.

¿Necesito permisos de administrador para descifrar archivos EFS?

Para descifrar archivos EFS desde tu propia cuenta de usuario, no se requieren permisos de administrador. Basta con haber iniciado sesión con el perfil que posee el certificado de cifrado. Sin embargo, para importar un certificado EFS en el almacén del sistema mediante certmgr.msc o para utilizar el comando cipher con privilegios elevados, sí es necesario disponer de una cuenta con permisos de administrador.

¿El cifrado EFS protege mis archivos si alguien roba el disco duro?

Sí, esa es una de las principales ventajas de EFS. Si un atacante extrae el disco duro de tu equipo y lo conecta a otro ordenador, los archivos cifrados con EFS permanecerán completamente inaccesibles. Aparecerán con el icono de candado y cualquier intento de abrirlos resultará en un error de acceso denegado, ya que el atacante no posee la clave privada que reside en tu perfil de usuario original.

¿Se puede recuperar un certificado EFS desde una copia de seguridad de Windows?

Sí, si realizaste una copia de seguridad completa del sistema con la herramienta Copia de seguridad y restauración de Windows, es posible que el certificado EFS esté incluido en dicha copia. Puedes intentar restaurar el sistema a un punto anterior utilizando la copia de seguridad, o extraer manualmente los archivos del perfil de usuario desde la imagen de copia de seguridad utilizando herramientas como 7-Zip para abrir archivos.vhd o.wbcat.

¿BitLocker y EFS son lo mismo o protegen de forma diferente?

No, son tecnologías completamente distintas y complementarias. BitLocker cifra todo el disco duro a nivel de volumen y protege contra el acceso físico al disco cuando el equipo está apagado. EFS cifra archivos y carpetas individuales y protege contra otros usuarios del mismo equipo o contra accesos a través de la red. La clave de recuperación de BitLocker no sirve para descifrar archivos EFS, y el certificado EFS no desbloquea un disco protegido con BitLocker.

Windows