Microsoft ha confirmado un fallo en las actualizaciones KB5083769 y KB5082052 que está disparando solicitudes de recuperación de BitLocker en equipos con Windows 11 tras instalar el último Patch Tuesday. El aviso llega después de que varios administradores reportasen la misma incidencia en sus flotas.
El problema no se limita a Windows 11. También afecta a Windows 10 mediante la KB5082200 y alcanza a Windows Server 2022 y 2025, lo que amplía el alcance a entornos corporativos donde la clave de recuperación de BitLocker no siempre está a mano.
Qué provoca el error de BitLocker en Windows 11
Según la propia Microsoft, el origen está en una configuración de directiva de grupo no recomendada que interactúa mal con el nuevo certificado Windows UEFI CA 2023. El sistema detecta un cambio en el perfil de validación PCR7 y responde pidiendo la clave como medida de seguridad.
La compañía insiste en que solo afecta a un número limitado de dispositivos y que, cuando ocurre, basta con introducir la clave una vez. Nada de bucles ni bloqueos permanentes, aunque el susto inicial para quien no tenga la clave localizada es considerable.
El problema se debe a una configuración de directiva de grupo basada en BitLocker no recomendada, lo que provoca que se solicite la clave de recuperación en los sistemas afectados.
Qué equipos están en riesgo
No todos los PC con Windows 11 van a ver la pantalla azul de BitLocker tras instalar el parche. Microsoft ha publicado una lista concreta de condiciones y el dispositivo tiene que cumplirlas todas para que el fallo se manifieste.
- BitLocker está habilitado en la unidad del sistema operativo.
- La directiva de grupo «Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware UEFI nativas» está configurada, y PCR7 está incluido en el perfil de validación (o la clave de registro equivalente se establece manualmente).
- Información del sistema (msinfo32.exe) informa que el enlace PCR7 del estado de arranque seguro no es posible.
- El certificado Windows UEFI CA 2023 está presente en la base de datos de firmas de arranque seguro (DB) del dispositivo, lo que hace que el dispositivo sea apto para que el administrador de arranque de Windows firmado en 2023 se establezca como predeterminado.
- El dispositivo no tiene instalado el Administrador de arranque de Windows firmado en 2023.
Si falta alguno de esos puntos, el equipo no debería pedir la clave al reiniciar. Por eso el impacto, aunque molesto, es acotado.
Solución recomendada por Microsoft paso a paso
Microsoft ha publicado una solución alternativa que permite retirar la directiva problemática antes de aplicar la actualización. Es el camino oficial y el que recomienda la compañía para administradores que aún no hayan desplegado el parche.
Conviene ejecutar estos pasos con permisos de administrador y, a ser posible, probarlos primero en un equipo piloto antes de lanzarlos al resto de la flota.
- Abre el Editor de directivas de grupo con gpedit.msc o la Consola de administración de directivas de grupo.
- Ve a Configuración del equipo > Plantillas administrativas -> Componentes de Windows -> Cifrado de unidad BitLocker -> Unidades del sistema operativo.
- Cambia la opción Configurar el perfil de validación de la plataforma TPM para las configuraciones de firmware UEFI nativas a No configurado.
- Ejecuta gpupdate /force en los equipos afectados para propagar el cambio.
- Suspende BitLocker con manage-bde -protectors -disable C: (ajusta la letra si el sistema está en otra unidad).
- Reanuda BitLocker con manage-bde -protectors -enable C:.
- Reinicia el equipo para que Windows aplique el perfil PCR por defecto.
Tras este procedimiento, BitLocker queda reconfigurado con el perfil predeterminado que elige Windows, que es compatible con el nuevo certificado UEFI y evita la solicitud al arrancar.
Alternativa vía KIR para administradores
Para entornos gestionados existe otra vía: aplicar una reversión de problemas conocidos (KIR) antes de desplegar el Patch Tuesday. Es útil cuando se administran muchos equipos mediante directivas y no compensa tocar cada máquina de forma individual.
La KIR desactiva el cambio problemático a nivel de política sin necesidad de desinstalar la actualización, algo que suele ser preferible cuando el parche incluye otras correcciones de seguridad relevantes.
Antes de tocar nada, vale la pena revisar que la clave de recuperación de BitLocker está bien guardada, ya sea en la cuenta de Microsoft, en Entra ID o en un sistema de gestión propio. Más que nada porque, si el equipo pide la clave y no aparece por ningún lado, la única salida suele ser formatear.