¿Qué es Secure Boot? Cómo bloquea el malware a nivel de arranque (2026)
La versión corta: Secure Boot es una función del firmware UEFI que comprueba la firma digital de todo lo que intenta ejecutarse cuando enciendes el ordenador, y se niega a cargar cualquier cosa que no esté firmada por una clave de confianza. Su única misión es detener el malware que se carga antes de tu sistema operativo, ese que de otro modo resulta casi imposible de detectar. No es una defensa completa por sí sola, pero cierra una puerta que antes estaba abierta de par en par.
Qué es realmente Secure Boot
Cuando enciendes un PC moderno, el firmware UEFI se ejecuta primero y luego cede el control a un bootloader, que carga el kernel del sistema operativo. Secure Boot inserta una comprobación en esa cadena: antes de que el firmware ejecute el bootloader, y antes de que el bootloader ejecute el kernel, verifica una firma criptográfica contra una base de datos de claves de confianza guardada en el firmware. Si el código está correctamente firmado, se ejecuta. Si no está firmado o ha sido manipulado, Secure Boot lo bloquea.
Dicho de otro modo, Secure Boot impone una regla sencilla: solo el software que alguien de confianza ha avalado puede iniciar tu máquina.
Por qué importa: detener los bootkits
La razón por la que vale la pena tenerlo se reduce al momento en que actúa. El malware que se carga en el arranque, un bootkit o un rootkit a nivel de arranque, se ejecuta antes que el sistema operativo y antes que tu antivirus. Una vez que toma el control tan pronto, puede ocultarse de todo lo que se carga después, y por eso las infecciones a nivel de arranque son tan difíciles de detectar y eliminar. Consulta nuestra explicación sobre qué es un rootkit para ver lo desagradable que llega a ser.
Secure Boot ataca el problema en su origen: si el código de arranque manipulado o sin firmar no puede pasar la comprobación de firma, nunca llega a ejecutarse. Esa es una posición mucho más fuerte que intentar encontrarlo y eliminarlo una vez que ya se ha cargado.

Cómo funciona por dentro
Secure Boot se apoya en un pequeño conjunto de claves y listas guardadas en el firmware:
- La Platform Key (PK) y las Key Exchange Keys (KEK) establecen quién puede gestionar los ajustes de confianza.
- La base de datos db (permitida) contiene las firmas y claves del software autorizado a ejecutarse.
- La base de datos dbx (prohibida) enumera las firmas que han sido revocadas, por ejemplo, bootloaders que más tarde se descubrió que eran vulnerables.
En cada paso del inicio, la firma del componente se comprueba contra db y dbx. En la mayoría de los PC de consumo las claves de confianza vienen de Microsoft y del fabricante del hardware, y por eso Secure Boot está activado por defecto y es obligatorio para Windows 11.
Secure Boot y Linux
Un mito frecuente es que Secure Boot bloquea Linux. No lo hace. Distribuciones importantes como Ubuntu y Fedora admiten Secure Boot mediante un pequeño programa firmado llamado shim, que goza de la confianza de las claves estándar y luego carga el bootloader y el kernel firmados de la propia distribución. Si compilas kernels personalizados o usas ciertos controladores fuera del árbol, puedes registrar tus propias claves a través de MOK (Machine Owner Key) en lugar de desactivar la protección. Desactivar Secure Boot es posible, y a veces necesario para configuraciones muy específicas, pero significa renunciar a la protección a nivel de arranque, así que es preferible registrar claves antes que desactivarlo.
Los límites honestos
Secure Boot es valioso, pero es una capa, no un campo de fuerza:
- Protege la cadena de arranque, no todo lo que viene después. El malware que llega a través de un enlace de phishing o una descarga maliciosa, y se ejecuta una vez que el sistema operativo está en marcha, es un problema distinto.
- Ha tenido debilidades reales a lo largo de los años: bootloaders firmados pero vulnerables (la clase de problemas “BootHole”) demostraron que una firma de confianza solo vale tanto como el código que hay detrás, y por eso existe la lista de revocación dbx.
- Depende de mantener el firmware actualizado para que los componentes vulnerables ya revocados sean realmente rechazados.
Trátalo como una base sólida sobre la que se apoyan otras defensas, no como lo único que se interpone entre tú y un atacante.
Preguntas frecuentes
¿Debería mantener Secure Boot activado? Para casi todo el mundo, sí. Es una defensa de bajo coste y alto valor contra el malware a nivel de arranque, está activada por defecto y las distribuciones modernas de Linux funcionan con ella. Solo desactívala si tienes una razón técnica concreta, y en ese caso prefiere registrar tus propias claves.
¿Secure Boot ralentiza mi PC? No. Las comprobaciones de firma ocurren solo durante el inicio y no añaden un tiempo apreciable, y no tienen ningún efecto sobre el rendimiento una vez que el sistema está en marcha.
¿Es Secure Boot lo mismo que TPM? No, aunque a menudo se mencionan juntos. Secure Boot verifica las firmas del software de arranque; un TPM es un chip aparte que almacena claves y mediciones. Windows 11 y algunos sistemas anti-trampas piden ambos, pero cumplen funciones distintas.
En resumen: Secure Boot se asegura de que solo el software de confianza y firmado pueda iniciar tu ordenador, dejando fuera el malware a nivel de arranque que se oculta de todo lo demás. Mantenlo activado, mantén tu firmware actualizado y trátalo como la base sólida de una defensa por capas, incluidos los sistemas modernos y reforzados que cubrimos en distribuciones de Linux inmutables.