Microsoft ha presentado un nuevo sistema de cifrado BitLocker acelerado por hardware que cambia de forma radical el comportamiento del cifrado de disco en Windows 11. La novedad, anunciada oficialmente durante Ignite 2025, traslada las operaciones criptográficas desde el software tradicional a unidades de aceleración dedicadas integradas en futuras microarquitecturas de CPU, solucionando uno de los grandes puntos débiles históricos del sistema.
Hasta la fecha, BitLocker basado en software podía provocar caídas severas de rendimiento. En pruebas internas, pasar de un sistema sin cifrado a BitLocker por software elevaba los ciclos por operación de E/S desde unas 400.000 unidades hasta cerca de 1.900.000 ciclos, lo que supone un incremento del 375%. Este sobrecoste se traducía en degradaciones notables del rendimiento de almacenamiento, especialmente visibles en cargas multitarea.
Cifrado por hardware integrado en el SoC
La nueva implementación desplaza el cifrado AES-XTS-256 desde el procesador principal hacia un motor criptográfico de función fija integrado dentro del SoC. Este enfoque reduce drásticamente la carga de CPU, mejora la eficiencia energética y mantiene un nivel de seguridad superior, ya que las claves de cifrado quedan encapsuladas en hardware, mitigando ataques basados en acceso a memoria.
El sistema ya está disponible en Windows 11 versión 25H2 y en Windows Server 2025 a través de la actualización de septiembre, marcando el inicio de un despliegue que Microsoft define como progresivo y dependiente del soporte de hardware.
Primeros resultados: más rendimiento y menos CPU
Las primeras pruebas prácticas muestran mejoras claras. En determinados escenarios, los sistemas con BitLocker acelerado por hardware logran hasta el doble de rendimiento en almacenamiento, al mismo tiempo que reducen el uso de CPU en más de un 70% frente al cifrado tradicional por software.
En operaciones secuenciales, las velocidades de lectura y escritura se mantienen en niveles similares entre ambos enfoques. Sin embargo, las diferencias aparecen en los benchmarks de acceso aleatorio, especialmente relevantes para el uso diario del sistema.
El salto clave está en el acceso aleatorio
En pruebas RND4K Q32T1, el BitLocker acelerado por hardware es 2,3 veces más rápido tanto en lectura como en escritura. En cargas de cola única, los resultados también son contundentes: las lecturas aleatorias mejoran alrededor de un 40%, mientras que las escrituras aleatorias alcanzan incrementos de hasta 2,1 veces.
Este comportamiento explica por qué la versión anterior de BitLocker penalizaba tanto la experiencia general. El acceso aleatorio de bloques pequeños es crítico en entornos multitarea modernos, donde múltiples procesos acceden al almacenamiento de forma simultánea.
Soporte inicial y hoja de ruta
El despliegue inicial se centrará en plataformas Intel vPro con los futuros Intel Core Ultra Series 3 “Panther Lake”, donde el soporte de aceleración criptográfica está plenamente integrado a nivel de silicio. No obstante, Microsoft ha confirmado que el objetivo es extender la compatibilidad a otros fabricantes, a medida que incorporen unidades equivalentes en sus diseños.
Con este movimiento, BitLocker deja de ser un compromiso entre seguridad y rendimiento para convertirse en una solución viable incluso en entornos profesionales exigentes y sistemas de uso intensivo. La transición al cifrado por hardware marca uno de los cambios más relevantes en la arquitectura de seguridad de Windows en los últimos años.
Vía: TechPowerUp
