Deshabilitar el modo UEFI Secure Boot en Windows podría llegar a ser necesario para que, por ejemplo, el sistema pueda arrancar con una tarjeta gráfica que no reconoce, o con un Live CD para el que no tiene controladores firmados digitalmente. No obstante, se trata de un método para evitar que se cargue software malintencionado en el arranque del sistema, como boot loaders, así que siempre es recomendable tenerlo activo. Estés en un caso o en otro, te vamos a enseñar a continuación cómo activar y desactivar el Secure Boot para cuando lo necesites.
Ten en cuenta que en este tutorial vamos a enseñarte cómo habilitar y desactivar Secure Boot. Esto implica llevar a cabo algunas operaciones relativamente avanzadas que, si tocas donde no debes, podrían causar fallos en tu PC. Por lo tanto, te recomendamos tener extrema precaución al seguir estos pasos y tocar solo lo que te indicamos para no incurrir en otros todavía más graves.
En todo caso, recuerda hacerlo bajo tu propia responsabilidad y antes de nada asegúrate de tener hecha una copia de seguridad de todos tus datos en un disco duro externo o en una nube, de tal forma que puedas recuperarlos sin mayor problema al terminar todo el proceso. Cualquier paso que no realices tal y como te indicamos podría provocar algunos problemas en el funcionamiento del ordenador y necesitar la ayuda de un especialista que pueda recuperártelo. Tenlo en cuenta para seguir a partir de aquí.
¿Qué es el Secure Boot?
Se trata de un modo de arranque seguro que está presente en todos los sistemas operativos a partir de Windows 8. Lo que hace este mecanismo es impedir la ejecución de cualquier software no firmado o maligno en el arranque del sistema. Se impide, de esta manera, que se puedan cargar aplicaciones maliciosas o de dudosa confianza. Microsoft, a partir de Windows 10, suprimió la opcionalidad de Secure Boot. De esta manera queda en manos de los fabricantes el desactivarlo o no en los equipos que comercializan.
En todo caso se trata de un sistema de control digital que va en contra de nuestra propiedad como usuarios del ordenador, ya que el objetivo de Secure Boot no es otro que dictarnos qué aplicaciones podemos ejecutar y cuáles no. En todo caso, si os encontráis en ciertos entornos de trabajo os podría llegar a ser de mucha utilidad. En especial para todas aquellas aplicaciones que se enquistan en el inició de Windows y que a veces son programas maliciosos que roban y transfieren información desde nuestro PC.
Sea como fuere, tenerlo activo o no dependerá de cómo de expuesto quieras tener tu ordenador ante amenazas exteriores. En todo caso, lo que te recomendamos es deshabilitar las aplicaciones no necesarias en el inicio de Windows y tener activo lo que necesites en cada momento. Con la el paso de los meses deberías poder saber qué aplicaciones son las adecuadas y cuáles las prescindibles para ir afinando esa primera configuración inicial y dejar, para siempre, las que de cverdad tienen importancia en el arranque del OS. Pero esto, por desgracia,no podrás definirlo desde el primer momento y será necesario un aprendizaje de algunos meses.
¿Cómo activarlo o desactivarlo?
El proceso para desactivarlo o, en su defecto, activarlo es relativamente sencillo. Requiere bastantes pasos y puede ser bastante tedioso. También queremos insistir en que no es algo recomendable de hacer, ya que te expones a problemas de seguridad graves si eres un usuario sin conocimientos demasiado avanzados, por lo que tu equipo podría quedar expuesto a los ataques de cualquier hacker que decida fijarnos en nosotros (cosa que no suele ser intencionada y se produce de forma indirecta).
La primera parte del proceso requiere que iniciemos el equipo normalmente con Windows como sistema operativo. Acto seguido, debemos hacer lo siguiente paso a paso, tal y como os indicamos. Recordad que olvidarse de hacer algo importante durante el proceso podría provocar errores aún más graves. Así que tenlo en cuenta.
- Hacemos clic izquierdo sobre el logo de Windows, situado abajo a la izquierda de la pantalla.
- Pulsamos sobre la rueda dentada que nos lleva a la Configuración.
- Dentro de la ventana abierta debemos ir a la opción de Actualización y seguridad.
- En el menú de la izquierda debemos buscar la opción de Recuperación.
- Seleccionamos Inicio avanzado.
- Debemos pulsar sobre el botón Reiniciar ahora que verás justo en la imagen de abajo.
Sistema de recuperación
Ahora el sistema pasará a reiniciarse y nos debería aparecer un menú especial con diferentes funciones, como el que podéis ver más abajo y que os recordará a las veces que habéis querido solucionar problemas en la instalación de Windows para restablecerlo de fábrica, etc. Una vez que estemos en ese menú, debemos seguir estos pasos que pasan por solucionar los problemas a través del propio menú que nos brinda Windows dentro de esta especie de modo recuperación:
- Con el teclado nos movemos hasta la opción de Solucionar problemas.
- Veremos dos así que debemos ir a pulsar sobre Opciones avanzadas.
- Dentro de este menú veremos seis opciones, debemos ir a la última de ellas que nos indica Configuración de firmware UEFI.
- Finalmente, pulsamos sobre Reiniciar para que se inicie dicho proceso.
Configuración BIOS
Esta vez el ordenador no iniciará Windows, sino que entraremos directamente en la BIOS UEFI del equipo. Aquí debes seguir estos pasos para acceder hasta el Secure Boot que queremos configurar realizando los siguientes pasos (cuidado, porque dependiendo de la placa que tengamos algunas opciones podrían aparecer en menús y pantallas diferentes, aunque las opciones en sí muchas veces podría aparecer identificadas con el mismo nombre):
- Dentro de la BIOS debemos navegar por el menú hasta encontrar la opción Boot (habitualmente está aquí, pero el fabricante podría haberlo puesto en otro sitio).
- Aquí dentro debería aparecer la opción de Secure Boot.
- Normalmente aparecerá en Enabled (activado) y nos dejará modificarlo.
- Para poder modificar este parámetro deberemos establecer una Contraseña de administrador para la BIOS.
- Tenemos que ir al apartado Main y al final debería aparecer Security para introducir una contraseña en la BIOS.
- Dentro deberíamos ver la opción de Administrator Password así que accedemos.
- Como suele ser habitual debemos crear una contraseña y confirmarla. Luego pulsamos en el botón OK.
- Volvemos al menú de Boot y ahora ya podremos cambiar el parámetro Secure Boot.
Nota: es recomendable borrar la contraseña de la BIOS, para ello repetimos a partir del punto 4. Tenemos que escribir la contraseña actual y luego lo dejamos en blanco para borrarla ya que el no rellenar el campo será interpretado por el equipo como una NO contraseña.
¿Es recomendable desactivar Secure Boot?
El primer objetivo que tiene el UEFI Secure Boot es proteger el sistema de Boot loaders no autorizados, especialmente aquellos que pueden provenir de códigos maliciosos como los que nos encontramos a veces en virus, malwares y vulnerabilidades de ciertos componentes.
Al mismo tiempo, desbloquear este modo nos va a dar un mayor control sobre el PC, pues de tenerlo desactivado podríamos encontrarnos con problemas si, por ejemplo, nos hemos dejado conectado un pendrive USB con un cargador de arranque en el equipo al iniciarlo.
Ya que tenemos la opción de desactivarlo, por contra, nos permitirá hacer las pruebas que consideremos oportunas en el equipo, y modificar lo que queramos, si bien es cierto que estos son casos orientados para usuarios muy avanzados que necesiten realizar tareas muy concretas con el PC.
Tareas como Live CD de Linux, algún programa de test de memoria como Memtest, gestor de archivos para mover carpetas sin privilegios de administrador y un sinfín de trabajos más. Cada uno tiene que valorar lo que le interesa en este punto, ya que estar activando y desactivando constantemente puede llegar a ser un incordio y, sobre todo, un riesgo.
Como siempre y tal y como te hemos indicado en este artículo, ten mucho cuidado con lo que tocas y registra en algún sitio cualquier parámetro que toques, por si debes revertir la operación para devolver al PC a su estado anterior.
Un detalle final: muchos ordenadores preconstruidos traen el Secure Boot de serie e impiden que se puedan utilizar sistemas operativos como distribuciones de Linux. Por lo que, si tu interés es usar algo diferente a Windows, nuestra recomendación es que desactives esta opción y que lo mires con mucho detalle en la tienda, preguntando y confirmando que no vas a tener problemas. Al fin y al cabo, este elemento pensado para mejorar la seguridad del equipo, no puede ser un obstáculo para que lo utilices como realmente lo necesites en cada momento, sea con el sistema operativo que sea.
Windows 11 y el arranque seguro
Con el lanzamiento de Windows 11, Microsoft añadió un requisito adicional que se suma a la necesidad del chip TPM 2.0. El chip TPM se encarga de añadir una capa extra de seguridad ya que todo el contenido se cifra a través del hardware no del software, por lo que es más complicado hackear el acceso a la información que almacena.
El arranque seguro es un requisito básico para evitar que el sistema cargue software malicioso cuando se inicia.
Si el equipo no es compatible o no tiene activada la función arranque seguro, Windows 11 no podrá llevar a cabo la instalación. Como hemos comentado más arriba, esta función es fundamental para que el equipo funcione de forma segura.
Si el equipo no es muy antiguo, y esta función no aparece activada en Windows y no tenemos la posibilidad de activarla, lo más probable es que la función de la BIOS se encuentre desactivada.
Pero, si esta opción tampoco está disponible en la BIOS, significa que ha llegado el momento de renovar el ordenador, siempre y cuando queramos utilizarlo de forma segura.
Distros Linux compatibles con Secure Boot
Cómo hemos comentado más arriba, esta funcionalidad de las placas base y obligatoria para poder ejecutar Windows, especialmente Windows 11, no se lleva especialmente bien con otros sistemas operativos, especialmente con Linux, por lo que es importante conocer las opciones de esta a la hora de desactivarla siempre y cuando compremos un equipo donde únicamente vayamos a instalar Linux como sistema operativo principal.
Aunque esta funcionalidad lleva mucho tiempo en el mercado, muchas son las distribuciones Linux que no se han molestado en actualizarse para ofrecer soporte para Secure Boot, por lo que, si este está activado no vamos a poder iniciar el PC con esta, a no ser que lo desactivemos previamente.
La solución no pasa por ir activando y desactivando esta funcionalidad, ya que es una pérdida de tiempo. Si tenemos la necesidad de utilizar una distro Linux que no sea compatible con Secure Boot, dependiendo de cuál vaya a ser el uso que le vayamos a dar, tal vez merezca la pena instalarla en una máquina virtual como VirtualBox o VMWare Pro.
VirtualBox, al igual que VMWare son dos aplicaciones que podemos descargar y utilizar de forma totalmente gratuita desde sus respectivas páginas web. VMWare siempre ha sido una aplicación de pago, sin embargo, desde a mediados de 2024, la empresa anunció que pasa a ser gratuita, siempre y cuando se utilice en un ámbito doméstico.
También podemos utilizar la máquina virtual disponible en las versiones Pro de Windows Hyper-V. Aunque esta es una de las mejores opciones, esta aplicación está no está diseñada para el usuario doméstico ya que incluye un gran número de opciones de configuración que no todo el mundo saber configurar correctamente.
Otra opción pasa por utilizar una distribución Linux que sea compatible con Secure Boot, siendo Ubuntu una de las mejores opciones. Otras opciones pasan por utilizar Fedora o Zorin, distro que si ofrecen soporte para Secure Boot. Si utilizas una distro Linux que sigue sin ofrecer soporte, la única opción que nos queda, sino queremos ir activando y desactivando esta función pasa por utilizar una máquina virtual sobre Windows.