Mejora la seguridad de tu PC activando el modo UEFI Secure Boot

Mejora la seguridad de tu PC activando el modo UEFI Secure Boot

Rodrigo Alonso

Deshabilitar el modo UEFI Secure Boot en Windows 10 podría llegar a ser necesario para, por ejemplo, que el sistema pueda arrancar con una tarjeta gráfica que no reconoce, o con un Live CD que no tiene controladores firmados digitalmente. No obstante, UEFI Secure Boot es un método para evitar que se cargue software malintencionado al arranque del sistema, como boot loaders, así que siempre es recomendable tenerlo activado. Estés en un caso o en otro, te vamos a enseñar a continuación cómo activar y desactivar el Secure Boot para cuando lo necesites.

Por poner un ejemplo: si quieres arrancar el sistema mientras tienes conectado un dispositivo USB no reconocido, saldrá un error que te dirá «security boot fail», y es perfectamente normal porque Windows está diseñado para solo arrancar cuando se está utilizando un firmware de confianza (firmado digitalmente). Sin embargo, hay ocasiones en las que podríamos necesitar hacerlo porque necesitamos hacer alguna prueba o porque estamos teniendo problemas, así que vamos a enseñarte cómo puedes hacerlo.

Cómo activar y desactivar UEFI Secure Boot

Lo primero que debes hacer es arrancar el sistema en modo de arranque avanzado, y para ello desde Windows 10 debes acceder al menú de configuración -> Actualización y seguridad -> Recuperación. Ahí verás un botón, bajo Inicio avanzado, que nos da la opción de «Reiniciar ahora».

El sistema se reiniciará y aparecerá una pantalla azul que nos dará a escoger entre varias opciones. En primera instancia seleccionaremos «Solucionar problemas».

En la siguiente, Opciones avanzadas.

Dentro de las opciones avanzadas, debemos irnos a la última opción: Configuración de firmware UEFI.

Tras darle, el sistema nos avisará de que se va a reiniciar el equipo, y tras pulsar el botón de Reiniciar hará justamente eso.

Nada más reiniciar, el equipo entrará en la BIOS sin que tengamos que tocar nada. Ahí, debemos irnos al apartado Boot y seleccionar Secure Boot.

Aquí veremos si está activado o no, y también sus parámetros. No obstante, no nos dejará tocar nada, porque para que la opción de desactivarlo esté permitida primero debemos hacer un paso previo, que es establecer una contraseña de administrador para la BIOS.

Para ello, debemos ir al apartado Security de la BIOS.

En Administrator Password, pulsamos y nos pedirá que introduzcamos una contraseña.

La introducimos, y listo. Tras ello podemos volver al menú de Secure Boot y desactivarlo si lo necesitamos, o activarlo si lo teníamos desactivado (opción recomendada).

Por cierto, que una vez que cambiéis el parámetro de Secure Boot, es altamente recomendable volver a quitar la contraseña de la BIOS, puesto que si la perdemos o no nos acordamos podemos tener problemas serios para volver a acceder a la configuración. Para ello, simplemente debemos seguir los pasos inversos; el sistema nos pedirá introducir primero la contraseña actual, y luego en la nueva simplemente lo dejamos en blanco.

¿Qué conseguimos habilitando y deshabilitándolo?

El primer objetivo que tiene el UEFI Secure Boot es proteger el sistema de boot loaders no autorizados, especialmente aquellos que pueden provenir de códigos maliciosos como los que nos encontramos a veces en la vulnerabilidades del procesador. Al mismo tiempo, desbloquear este modo nos va a dar un mayor control sobre el PC, pues de tenerlo desactivado podríamos encontrarnos con problemas si, por ejemplo, nos hemos dejado conectado un pendrive USB con un cargador de arranque en el equipo al iniciarlo.

Ya que tenemos la opción de desactivarlo, por contra, nos permitirá hacer las pruebas que consideremos oportunas en el equipo, y modificar lo que queramos, si bien es cierto que estos son casos orientados para usuarios muy avanzados que necesiten realizar tareas muy concretas en el equipo.

Tareas como Live CD de Linux, algún programa de test de memoria como Memtest, gestor de archivos para mover carpetas sin privilegios de administrador y un sin fin de tareas más. Cada uno tiene que valorar lo que le interesa en este punto, ya que estar activando y desactivando constantemente puede llegar a ser un incordio.