BitLocker me pide la clave de recuperación en CADA inicio tras actualizar la BIOS

Question

Hola comunidad,

Tengo un problema bastante molesto con un portátil de trabajo (un Dell Latitude) que me está haciendo perder mucho tiempo cada mañana.

La semana pasada, el asistente de actualizaciones del fabricante instaló una actualización de Firmware/BIOS automática. Desde ese momento, cada vez que enciendo el ordenador, me salta la pantalla azul de BitLocker pidiendo la clave de recuperación de 48 dígitos.

No es que haya perdido la clave (la tengo guardada en mi cuenta y funciona), el problema es que el sistema no deja de pedírmela. Yo introduzco la clave, Windows 11 arranca perfectamente y puedo trabajar, pero si reinicio o apago, vuelta a empezar. Es como si el TPM no quisiera 'confiar' en la nueva versión de la BIOS.

Lo que ya he intentado para solucionarlo:

He entrado en Windows, he ido al Panel de Control > Cifrado de unidad BitLocker y he seleccionado la opción 'Suspender protección' y luego 'Reanudar protección'. Leí que esto servía para 'volver a sellar' el TPM con la nueva configuración, pero en mi caso no ha hecho nada.

He probado por línea de comandos con manage-bde -protectors -disable c: y luego -enable, pero el comportamiento sigue igual tras el reinicio.

He entrado en la BIOS y he verificado que el chip TPM 2.0 aparece como 'Enabled' y 'Active'.

El 'Secure Boot' (Arranque seguro) también está activado.

¿Alguien sabe si es estrictamente necesario hacer un 'Borrar TPM' (Clear TPM) desde la BIOS? Me da bastante miedo hacerlo por si pierdo el acceso a los datos cifrados definitivamente o si se rompe el inicio de sesión con el PIN de Windows Hello.

¿Hay alguna forma de arreglar esta validación de arranque sin tener que descifrar y volver a cifrar todo el disco duro (que tarda horas)?

Agradezco cualquier consejo.

Un saludo.

Answer 1

Hola MARIA SAGASTI ESCALONA

Lo que describes encaja con un escenario bastante común: tras una actualización de firmware, el TPM detecta que la configuración de arranque ha cambiado y, por seguridad, exige la clave de recuperación en cada inicio. Aunque ya has probado los pasos correctos para “resealar” BitLocker con el TPM, en algunos equipos Dell la actualización modifica ciertos valores internos que impiden que el TPM vuelva a confiar en la nueva versión del firmware.

En estos casos, la solución más efectiva suele ser volver a generar los protectores de BitLocker desde Windows, pero no solo suspendiendo y reanudando, sino eliminando y recreando el protector del TPM. Esto no descifra la unidad y es completamente seguro siempre que tengas la clave de recuperación guardada, como ya indicas. Otra opción que suele funcionar es actualizar nuevamente la BIOS a la versión más reciente disponible en la web de Dell, incluso si coincide con la instalada, ya que algunos fabricantes publican revisiones silenciosas que corrigen problemas de TPM.

Respecto a tu duda sobre “Borrar TPM” desde la BIOS, no es estrictamente necesario en la mayoría de los casos. De hecho, no lo recomiendo como primer paso, ya que puede obligarte a reconfigurar Windows Hello y otros elementos de seguridad. Solo debería considerarse si los métodos anteriores no funcionan y siempre asegurando que BitLocker tiene su clave de recuperación correctamente respaldada.

La buena noticia es que no necesitas descifrar y volver a cifrar todo el disco, ya que este proceso no resolvería el origen del problema . Con los pasos adecuados, el TPM debería volver a sincronizarse con BitLocker sin afectar tus datos.

Si deseas, puedo guiarte paso a paso para regenerar los protectores de BitLocker o revisar contigo la versión exacta de BIOS que tienes instalada. Y si esta explicación te ha sido útil, te agradecería que marques “Aceptar respuesta” para ayudar también a otros usuarios de la comunidad.