Microsoft ha presentado una nueva implementación de BitLocker con aceleración por hardware para Windows 11, un cambio arquitectónico que promete mejoras masivas de rendimiento frente al cifrado tradicional basado en software. La novedad desplaza las operaciones criptográficas desde la CPU general a unidades de aceleración dedicadas integradas en futuras microarquitecturas de procesador.
Históricamente, BitLocker en Windows 11 ha tenido un coste elevado en rendimiento cuando se ejecuta íntegramente por software. En pruebas internas, Microsoft ha observado que el número medio de ciclos por operación de entrada/salida se dispara desde unos 400.000 ciclos sin cifrado hasta cerca de 1,9 millones de ciclos con BitLocker por software, lo que supone un incremento del 375% y una degradación notable del rendimiento de almacenamiento.
La nueva aproximación basada en hardware busca eliminar este cuello de botella.
 700 640.jpg)
BitLocker acelerado por hardware ya disponible en Windows 11 25H2
La aceleración por hardware fue anunciada inicialmente durante Microsoft Ignite 2025, celebrado en noviembre, y ya está disponible a través de:
Las primeras pruebas muestran que determinadas cargas de trabajo pueden duplicar el rendimiento de almacenamiento, al tiempo que el uso de CPU se reduce en más de un 70%.
Cómo funciona: AES-XTS-256 fuera de la CPU
El nuevo BitLocker utiliza un motor criptográfico de función fija integrado en el SoC, al que se derivan las operaciones de cifrado AES-XTS-256. De este modo:
La CPU deja de ejecutar rutinas criptográficas intensivas.
Las claves de cifrado se envuelven y protegen en hardware, aumentando la resistencia frente a ataques basados en memoria.
Se reduce la latencia en operaciones de E/S, especialmente en accesos aleatorios.
Este diseño aproxima BitLocker al funcionamiento de soluciones de cifrado nativas de hardware utilizadas tradicionalmente en entornos empresariales y centros de datos.
Mejora clave en accesos aleatorios, el punto débil del cifrado por software
Los datos de rendimiento indican que las diferencias más importantes aparecen en operaciones aleatorias de pequeño tamaño, críticas en sistemas modernos con multitarea intensiva:
RND4K Q32T1 (lectura y escritura): hasta 2,3× más rápido con BitLocker acelerado por hardware.
Lecturas aleatorias 4K de cola única: alrededor de 40% más rápidas.
Escrituras aleatorias 4K de cola única: aproximadamente 2,1× más rápidas.
En cambio, las velocidades secuenciales de lectura y escritura se mantienen similares entre el cifrado por software y el cifrado por hardware. Esto explica por qué el impacto negativo del BitLocker tradicional era especialmente notable en escenarios reales de uso, donde predominan accesos aleatorios pequeños.
Primeros sistemas compatibles: Intel vPro y Panther Lake
En esta primera fase, Microsoft dirige la aceleración de BitLocker por hardware a plataformas Intel vPro, comenzando con los próximos procesadores Core Ultra Series 3 “Panther Lake”. No obstante, la compañía ha confirmado que el soporte se ampliará a otros fabricantes y arquitecturas conforme estén disponibles los bloques de aceleración necesarios.
Este movimiento encaja con la tendencia general de desplazar funciones de seguridad y cifrado a hardware especializado para mejorar tanto rendimiento como seguridad.
Un paso clave para la adopción de BitLocker sin penalizaciones
Con esta actualización, Microsoft elimina uno de los principales argumentos en contra de activar BitLocker por defecto: la pérdida significativa de rendimiento. La aceleración por hardware permite mantener cifrado de disco completo activo sin sacrificar la experiencia de usuario, especialmente en portátiles y estaciones de trabajo donde el rendimiento de almacenamiento es crítico.
Fuente: Microsoft
