Categoría Descargas Software Programas
Categoría Descargas Software Programas

FileVault

FileVault – El cifrado completo de disco integrado en macOS que protege tus datos con hardware seguro

Descripción del programa FileVault

FileVault es el sistema de cifrado de disco completo integrado en macOS, desarrollado por Apple Inc. y disponible de forma nativa en todos los Mac modernos. Lanzado originalmente en 2003 con Mac OS X Panther (versión 10.3), ha evolucionado significativamente a lo largo de los años. La versión actual, conocida como FileVault 2, está disponible desde macOS Lion (10.7) y ofrece cifrado de disco completo, a diferencia de la versión original que solo cifraba la carpeta personal del usuario.

Su principal fortaleza radica en ofrecer un cifrado transparente y automático que protege todos los datos del Mac sin que el usuario tenga que hacer nada más que activarlo. Una vez activado, FileVault cifra todo el contenido del disco de arranque utilizando el estándar AES-XTS 128-bit, el mismo utilizado por gobiernos y organizaciones para proteger información clasificada.

En los Mac con chip Apple Silicon (M1, M2, M3) o con el chip de seguridad T2, el cifrado se acelera por hardware a través del Secure Enclave y el AES Engine integrados en el chip. Esto significa que el rendimiento del sistema no se ve afectado perceptiblemente, incluso cuando se trabaja con archivos grandes o se realizan operaciones intensivas de lectura/escritura.

FileVault está disponible en todas las versiones modernas de macOS (10.13 o superiores) y se activa fácilmente desde Configuración del Sistema > Privacidad y Seguridad. Una vez activado, el Mac solicitará la contraseña de inicio de sesión cada vez que se encienda, antes de cargar el sistema operativo (pre-boot authentication), garantizando que los datos permanezcan inaccesibles incluso si el equipo es robado y se extrae el disco duro.

¿Necesitas proteger tu Mac y todos tus datos en caso de robo o pérdida, sin complicarte con software de terceros?

Características clave de FileVault

1. Cifrado completo de disco (Full Disk Encryption)

FileVault 2 cifra por completo el disco de arranque del Mac, incluyendo el sistema operativo, las aplicaciones, los archivos del usuario, los archivos temporales, el archivo de intercambio y cualquier otro dato almacenado en el disco.

A diferencia de otros métodos de cifrado que solo protegen archivos o carpetas específicas, FileVault garantiza que absolutamente todos los datos del disco estén protegidos, eliminando la posibilidad de que información sensible quede expuesta en áreas no cifradas del sistema.

El cifrado es transparente para el usuario: una vez activado, los datos se cifran automáticamente al guardarse y se descifran al leerse, sin que el usuario note diferencia en el uso cotidiano del equipo. El rendimiento se mantiene gracias a la aceleración por hardware en los Mac modernos.

2. Cifrado basado en hardware con Secure Enclave

En los Mac con chip Apple Silicon (M1, M2, M3, etc.) o con el chip de seguridad T2, FileVault aprovecha las capacidades de cifrado por hardware integradas en el chip. Todas las operaciones de cifrado y descifrado se realizan en el Secure Enclave, un coprocesador dedicado que maneja las claves de cifrado sin exponerlas al sistema operativo principal. Esto significa que las claves de cifrado nunca son accesibles por la CPU, lo que añade una capa adicional de seguridad contra ataques de software malicioso.

Además, el AES Engine dedicado acelera las operaciones de cifrado y descifrado, minimizando cualquier impacto en el rendimiento del sistema. En los Mac modernos, la diferencia de velocidad con y sin FileVault es prácticamente imperceptible.

3. Clave de recuperación de 24 caracteres

Al activar FileVault, se genera automáticamente una clave de recuperación (Recovery Key) de 24 caracteres alfanuméricos. Esta clave es fundamental para recuperar el acceso al Mac en caso de que se olvide la contraseña de inicio de sesión. Apple recomienda encarecidamente guardar esta clave en un lugar seguro, como un gestor de contraseñas, una copia impresa en un lugar físico seguro, o anotarla en un lugar que no esté en el propio Mac.

La clave de recuperación también se almacena en el llavero de iCloud si el usuario tiene activada la sincronización de contraseñas, lo que permite recuperarla desde otro dispositivo Apple autenticado. En entornos gestionados (empresas, escuelas), la clave puede ser «custodiada» (escrowed) por la solución de gestión de dispositivos (MDM), permitiendo a los administradores recuperar el acceso a equipos corporativos.

4. Autenticación previa al arranque (Pre-boot Authentication)

Una de las características más importantes de FileVault es la autenticación previa al arranque. Cuando FileVault está activado, el Mac no puede arrancar completamente hasta que se introduzca una contraseña válida o la clave de recuperación. Esto ocurre antes de que se cargue el sistema operativo, lo que significa que incluso si alguien extrae el disco duro del Mac y lo conecta a otro ordenador, los datos permanecen completamente inaccesibles sin la contraseña correcta.

La pantalla de inicio de sesión que aparece al encender el Mac es gestionada directamente por FileVault, no por macOS, lo que garantiza que no haya ninguna ventana para eludir la protección.

5. Jerarquía de claves para máxima seguridad

FileVault implementa una jerarquía de claves diseñada para lograr varios objetivos de seguridad simultáneamente:

  • Requerir la contraseña del usuario para el descifrado
  • Proteger el sistema contra ataques de fuerza bruta directamente sobre el almacenamiento extraído
  • Permitir el borrado seguro y rápido del contenido mediante la eliminación del material criptográfico necesario
  • Permitir cambiar la contraseña sin necesidad de volver a cifrar todo el volumen

En los Mac con chip Apple Silicon o T2, todos los volúmenes APFS se crean con una clave de cifrado de volumen (Volume Encryption Key) por defecto. El contenido del volumen y los metadatos se cifran con esta clave, que a su vez está protegida por una clave de cifrado de claves (Key Encryption Key – KEK). La KEK está protegida por una combinación de la contraseña del usuario y el UID de hardware cuando FileVault está activado.

6. Borrado seguro instantáneo

Cuando se elimina un volumen cifrado con FileVault, su clave de cifrado de volumen se elimina de forma segura por el Secure Enclave. Esto impide cualquier acceso futuro a los datos, incluso por parte del propio Secure Enclave. Además, todas las claves de cifrado de volumen están protegidas por una clave de medios (Media Key), cuyo propósito no es proporcionar confidencialidad adicional, sino permitir el borrado rápido y seguro de los datos, ya que sin ella el descifrado es imposible.

En los Mac con chip Apple Silicon o T2, el sistema operativo garantiza que la clave de medios se borre mediante comandos de gestión remota de dispositivos (MDM). Borrar la clave de medios de esta manera hace que el volumen sea criptográficamente inaccesible.

7. Cifrado automático incluso sin activar FileVault

En los Mac con chip Apple Silicon o T2, el volumen del sistema siempre está cifrado, incluso si el usuario no activa FileVault explícitamente. La diferencia es que, sin FileVault, la clave de cifrado de volumen está protegida únicamente por el UID de hardware del Secure Enclave, no por la contraseña del usuario. Esto significa que los datos están cifrados, pero el Mac puede arrancar sin necesidad de introducir una contraseña adicional.

Cuando el usuario activa FileVault más tarde, el proceso es inmediato porque los datos ya estaban cifrados. Un mecanismo antirrepetición evita que la clave antigua (basada solo en el UID) pueda seguir utilizándose, y el volumen queda protegido por la combinación de la contraseña del usuario y el UID de hardware.

8. Compatibilidad con discos extraíbles (limitada)

FileVault puede cifrar unidades extraíbles (discos duros externos, memorias USB) formateadas como APFS o Mac OS Extended (HFS+), pero en este caso no se aprovechan las capacidades del Secure Enclave. El cifrado de unidades extraíbles se realiza de la misma manera que en los Mac Intel sin chip T2, utilizando software en lugar de aceleración por hardware.

Explicación detallada del funcionamiento

La arquitectura de FileVault 2 se basa en el Administrador de Volúmenes Lógicos (Logical Volume Manager – LVM) de Apple, conocido como CoreStorage (en versiones anteriores a APFS) o directamente integrado en APFS (Apple File System) en versiones modernas.

Cuando el usuario activa FileVault, el sistema convierte el volumen de arranque a un volumen lógico que puede ser gestionado por el subsistema de cifrado. El proceso implica:

  1. Creación de la jerarquía de claves: Se genera una clave de cifrado de volumen (VEK) única para el volumen. Esta clave se utiliza para cifrar todos los datos del volumen.
  2. Protección de la clave: La VEK se cifra con una clave de cifrado de claves (KEK). La KEK se deriva de la contraseña del usuario mediante una función de derivación de clave (PBKDF2) con un alto número de iteraciones para resistir ataques de fuerza bruta.
  3. Almacenamiento seguro: En los Mac con chip Apple Silicon o T2, la KEK se almacena en el Secure Enclave, donde está protegida por el UID de hardware único del chip. Esto significa que ni siquiera Apple puede acceder a la clave sin la contraseña del usuario.
  4. Autenticación previa al arranque: Cuando se enciende el Mac, el gestor de arranque (bootloader) carga un entorno mínimo que solicita la contraseña. Esta contraseña se envía al Secure Enclave, que descifra la KEK y luego la VEK, permitiendo que el sistema acceda a los datos cifrados.

El flujo de trabajo típico del usuario es el siguiente:

  1. Activación: El usuario accede a Configuración del Sistema > Privacidad y Seguridad > FileVault y hace clic en «Activar». Se le pedirá que elija cómo quiere recuperar su contraseña si la olvida (clave de recuperación o cuenta de iCloud).
  2. Generación de clave de recuperación: El sistema genera una clave de recuperación de 24 caracteres. El usuario debe anotarla y guardarla en un lugar seguro. Si elige la opción de iCloud, la clave se almacena en su llavero de iCloud.
  3. Cifrado inicial: El sistema comienza a cifrar el disco en segundo plano. El usuario puede seguir utilizando el Mac normalmente durante este proceso, que puede durar desde minutos hasta varias horas dependiendo de la cantidad de datos y la velocidad del disco.
  4. Reinicio: Después de que el cifrado se complete, el Mac solicitará la contraseña cada vez que se encienda, antes de cargar macOS.

En entornos empresariales gestionados con MDM (como Microsoft Intune o Jamf Pro), los administradores pueden:

  • Forzar la activación de FileVault en todos los Mac corporativos
  • Custodiar (escrow) las claves de recuperación en la nube, permitiendo a los administradores recuperar el acceso a equipos bloqueados
  • Rotar las claves de recuperación periódicamente para mantener la seguridad
  • Verificar el estado de cifrado de todos los dispositivos gestionados

Descarga e instalación de FileVault

  • Página oficial: Apple Support – FileVault
  • Versión actual: FileVault 2 (integrado en macOS 10.7 y superiores)
  • Disponibilidad: Preinstalado en todas las versiones modernas de macOS (10.13 o superiores)
  • Sistemas operativos compatibles:
  • FileVault 2: macOS 10.7 (Lion) a macOS 15 (Sequoia) y superiores
  • FileVault 1 (legacy): Mac OS X 10.3 (Panther) a 10.6 (Snow Leopard)
  • Requisitos mínimos:
  • Mac: Cualquier Mac compatible con macOS 10.13 o superior
  • Recomendado: Mac con chip Apple Silicon (M1/M2/M3) o chip de seguridad T2 para cifrado acelerado por hardware
  • Almacenamiento: Espacio libre equivalente al tamaño de los datos a cifrar (temporalmente)
  • Licencia: Gratuito (incluido con macOS)
  • Idiomas: Todos los idiomas soportados por macOS, incluyendo español, inglés, chino, japonés, etc.
  • Soporte técnico: Documentación oficial de Apple, Soporte de Apple, foros comunitarios

Cómo usar FileVault

Paso 1: Verificar el estado actual de FileVault

Antes de activar FileVault, es recomendable verificar si ya está activado:

  1. Haz clic en el logotipo de Apple en la esquina superior izquierda.
  2. Selecciona «Configuración del Sistema» (o «Preferencias del Sistema» en versiones antiguas).
  3. Ve a «Privacidad y Seguridad».
  4. Desplázate hasta la sección «FileVault». El estado indicará si está activado o desactivado.

Paso 2: Realizar una copia de seguridad (recomendado)

Antes de activar FileVault, es altamente recomendable realizar una copia de seguridad completa del Mac utilizando Time Machine o el método de tu preferencia. Aunque el proceso es seguro, tener una copia de seguridad garantiza que no se pierdan datos en caso de algún problema inesperado.

Paso 3: Activar FileVault

  1. En Configuración del Sistema > Privacidad y Seguridad > FileVault, haz clic en «Activar» (Turn On FileVault).
  2. Se te pedirá que introduzcas la contraseña de administrador.
  3. Elige cómo quieres recuperar tu contraseña si la olvidas:
  • Usar mi cuenta de iCloud: Permite restablecer la contraseña utilizando la cuenta de iCloud (recomendado para la mayoría de usuarios).
  • Crear una clave de recuperación: Genera una clave de 24 caracteres que debes guardar en un lugar seguro.
  1. Si eliges la clave de recuperación, el sistema la mostrará en pantalla. Anótala y guárdala en un lugar seguro (un gestor de contraseñas, una copia impresa en un lugar físico seguro, etc.). No la guardes en el propio Mac.
  2. Haz clic en «Continuar».
  3. El sistema comenzará a cifrar el disco en segundo plano. Puedes seguir usando tu Mac normalmente mientras esto ocurre.

Paso 4: Verificar el progreso del cifrado

Para ver el progreso del cifrado inicial:

  1. Vuelve a Configuración del Sistema > Privacidad y Seguridad > FileVault.
  2. Verás una barra de progreso indicando el porcentaje completado.
  3. El cifrado puede tardar desde minutos hasta varias horas, dependiendo de la cantidad de datos y la velocidad del disco. Durante este tiempo, puedes seguir usando tu Mac con normalidad.

Paso 5: Comprobar el estado mediante Terminal (opcional)

Para usuarios avanzados, se puede verificar el estado de FileVault desde la Terminal:

  1. Abre Terminal (Aplicaciones > Utilidades).
  2. Escribe el siguiente comando y presiona Enter:
   fdesetup status
  1. La salida mostrará uno de los siguientes mensajes:
  • FileVault is On. – El cifrado está activado.
  • FileVault is Off. – El cifrado no está activado.

Paso 6: Desactivar FileVault (si es necesario)

Si en algún momento deseas desactivar FileVault:

  1. Ve a Configuración del Sistema > Privacidad y Seguridad > FileVault.
  2. Haz clic en «Desactivar» (Turn Off FileVault).
  3. Introduce la contraseña de administrador.
  4. El sistema comenzará a descifrar el disco. Este proceso también puede llevar tiempo, y puedes seguir usando el Mac mientras ocurre.

Observaciones sobre FileVault

Frente a otras soluciones de cifrado de disco como VeraCrypt o BitLocker (Windows), FileVault destaca por su integración nativa con el hardware y el software de Apple. En los Mac con chip Apple Silicon o T2, el cifrado se acelera por hardware y las claves se protegen en el Secure Enclave, algo que ninguna solución de terceros puede aprovechar al mismo nivel.

Para el usuario final, el beneficio práctico de FileVault es la tranquilidad de saber que sus datos están protegidos en caso de robo o pérdida del equipo. A diferencia de otros métodos de protección (como contraseñas de inicio de sesión), el cifrado de disco completo garantiza que incluso si alguien extrae el disco duro y lo conecta a otro ordenador, los datos siguen siendo inaccesibles sin la contraseña.

El impacto en el rendimiento es mínimo en hardware moderno. En los Mac con chip Apple Silicon o T2, la aceleración por hardware hace que la diferencia de velocidad con y sin FileVault sea prácticamente imperceptible. Incluso en operaciones intensivas como la edición de vídeo 4K o la transferencia de archivos grandes, la penalización es inferior al 5-10% en la mayoría de los casos. En Macs más antiguos (anteriores a 2016), el cifrado puede notarse más, especialmente en discos duros mecánicos (HDD).

El tiempo de cifrado inicial depende del tamaño del disco y la cantidad de datos. En un Mac moderno con SSD y varios cientos de gigabytes de datos, el cifrado inicial puede completarse en 30-60 minutos. En Macs más antiguos o con discos duros mecánicos, puede tardar varias horas. Durante todo el proceso, el Mac sigue siendo completamente utilizable, aunque puede notarse una ligera ralentización.

En entornos empresariales, FileVault se integra con las soluciones de gestión de dispositivos (MDM) como Microsoft Intune, Jamf Pro o Addigy. Los administradores pueden forzar la activación de FileVault en todos los Mac corporativos, custodiar las claves de recuperación en la nube, rotar las claves periódicamente y verificar el estado de cifrado de todos los dispositivos desde un panel central. Esto es fundamental para cumplir con regulaciones como GDPR, HIPAA o PCI-DSS que requieren la protección de datos sensibles.

Una limitación importante es que FileVault no cifra unidades extraíbles con aceleración por hardware. Las memorias USB y discos externos se cifran mediante software, lo que puede resultar en un rendimiento más lento y una mayor dependencia de la CPU. Para cifrar unidades extraíbles de forma segura y eficiente, se recomienda utilizar herramientas como VeraCrypt o el cifrado integrado de APFS en Finder.

La autenticación previa al arranque puede ser un inconveniente en ciertos escenarios, como servidores que necesitan reiniciarse automáticamente sin intervención humana. Sin embargo, en Mac con chip Apple Silicon y macOS 26 o superior, es posible desbloquear FileVault mediante SSH después de un reinicio si la opción Remote Login está activada.

Limitaciones importantes

  • Solo para macOS: No funciona en Windows, Linux u otros sistemas operativos.
  • Requiere hardware compatible para aceleración: En Macs antiguos (sin T2 o Apple Silicon), el cifrado puede ralentizar el sistema, especialmente con discos duros mecánicos.
  • Cifrado limitado para unidades extraíbles: Las memorias USB y discos externos se cifran por software, no con aceleración por hardware.
  • Sin negación plausible: A diferencia de VeraCrypt, FileVault no ofrece la posibilidad de crear volúmenes ocultos para negación plausible.
  • Dependencia de la cuenta de iCloud (opcional): Si se elige la opción de recuperación con iCloud, se depende de la disponibilidad del servicio de Apple.
  • Sin cifrado de archivos individuales: FileVault cifra discos completos, no archivos o carpetas individuales.

Alternativa recomendada

Si buscas una solución de cifrado multiplataforma (Windows, macOS, Linux) con características avanzadas como volúmenes ocultos y negación plausible, VeraCrypt es la alternativa más recomendada. Es de código abierto, gratuito y permite crear contenedores cifrados, cifrar particiones completas o discos enteros, con soporte para algoritmos como AES, Serpent y Twofish.

Si necesitas cifrar archivos individuales o carpetas en lugar de discos completos, Cryptomator es una excelente opción. Está diseñado específicamente para sincronizar archivos cifrados con servicios en la nube (Google Drive, Dropbox, OneDrive), evitando tener que sincronizar contenedores grandes. Está disponible para Windows, macOS, Linux, iOS y Android.

Si trabajas en entornos empresariales con macOS y necesitas gestión centralizada, la combinación de FileVault con una solución MDM (como Jamf Pro, Microsoft Intune o Addigy) es la opción más robusta, ya que permite custodiar claves, forzar políticas y auditar el cumplimiento desde un panel central.

FileVault es la solución de cifrado de disco más integrada, segura y fácil de usar para usuarios de Mac. Su combinación de aceleración por hardware, protección en el Secure Enclave y transparencia para el usuario la convierten en la opción recomendada para cualquier persona que quiera proteger sus datos en caso de robo o pérdida del equipo. No requiere descarga ni instalación, ya que está integrado en macOS, y puede activarse en minutos desde Configuración del Sistema.

Sección FAQ

¿FileVault es gratis o de pago?

FileVault es completamente gratuito. Viene incluido con macOS y no tiene coste adicional ni versiones de pago. Es una funcionalidad nativa del sistema operativo, no una aplicación descargable por separado.

¿Funciona en Linux, Windows y Mac?

FileVault está disponible exclusivamente en macOS. No funciona en Windows ni en Linux. Para cifrar discos en esos sistemas, se recomienda usar BitLocker (Windows) o LUKS (Linux).

¿FileVault ralentiza el Mac?

En los Mac modernos con chip Apple Silicon (M1/M2/M3) o chip de seguridad T2, el impacto en el rendimiento es mínimo gracias a la aceleración por hardware del AES Engine. En Macs más antiguos (anteriores a 2016) o con discos duros mecánicos (HDD), el cifrado puede notarse más, especialmente durante la transferencia de archivos grandes.

¿Qué hago si olvido mi contraseña de FileVault?

Si olvidaste la contraseña, puedes utilizar la clave de recuperación de 24 caracteres que se generó al activar FileVault. Si elegiste la opción de iCloud, también puedes restablecer la contraseña utilizando tu cuenta de iCloud. Sin la clave de recuperación ni acceso a iCloud, los datos permanecerán cifrados de forma permanente y no habrá forma de recuperarlos.

¿Qué ha pasado con el desarrollo de FileVault?

FileVault está en desarrollo activo por parte de Apple. La versión actual (FileVault 2) se introdujo en macOS Lion (2011) y ha recibido mejoras continuas en cada versión de macOS. Las últimas versiones incluyen soporte para desbloqueo por SSH en Mac con Apple Silicon (macOS 26 o superior) y mejoras en la integración con MDM. No hay indicios de que Apple vaya a discontinuar FileVault, ya que es una parte fundamental de la seguridad de macOS.

Descargas