Las actualizaciones de Windows 11 Secure Boot 2023 fallan en algunos equipos, lo que revela problemas de firmware más generalizados.

Desde su creación en 2011, el Arranque Seguro ha brindado un soporte discreto al ecosistema de PC, pero entre 2023 y 2025 adquirió una prominencia inesperada, para disgusto de Microsoft, los fabricantes de equipos originales (OEM) y los proveedores de firmware. Lo que antes era una función de seguridad discreta se convirtió de repente en noticia de primera plana cuando el lanzamiento del certificado CA-2023 reveló inconsistencias persistentes en las implementaciones de firmware, la gestión de certificados y los procesos de actualización en toda la industria de PC. Desafortunadamente, los resultados no fueron ni esclarecedores ni agradables.

Los usuarios de Windows se enfrentaron a una desconcertante variedad de complicaciones, incluyendo advertencias de arranque confusas, secuencias de arranque interrumpidas y consejos poco claros o contradictorios por parte de los proveedores. En lugar de fomentar la confianza y la fiabilidad, el Arranque Seguro pareció generar incertidumbre y frustración.

Este artículo desentraña las complejidades del Arranque Seguro (Secure Boot), analizando su función, importancia, las implicaciones de CA-2023, los errores de los proveedores y las soluciones prácticas para los usuarios que experimentan fallos en la actualización del Arranque Seguro. Explicaré cada acrónimo, le guiaré detalladamente a través de la cadena de confianza y compartiré mi experiencia, fruto de la gestión de mi flota de entre 10 y 15 PC para cumplir con la normativa de Arranque Seguro mediante los certificados de arranque CA-2023. Esta experiencia ha sido fundamental para ampliar mi conocimiento sobre el tema.

Comprender el arranque seguro y su importancia

El arranque seguro (Secure Boot), un componente integral definido por la Interfaz de Firmware Extensible Unificada (UEFI), el reemplazo moderno de Intel para la BIOS tradicional, está diseñado para garantizar que solo se ejecuten cargadores de arranque y componentes del sistema operativo confiables y firmados durante el inicio del sistema.

El panel de seguridad de Windows ayuda a confirmar si las funciones de seguridad del hardware están activas.
Funcionalidad de arranque seguro, como se muestra en el panel de seguridad de Windows.

El proceso de arranque seguro se basa en un conjunto de claves criptográficas almacenadas en el firmware, que determinan la legitimidad de lo que está permitido y lo que está prohibido.

Componentes clave del arranque seguro

Clave de plataforma (PK) : El identificador principal del propietario del sistema, generalmente instalado por los fabricantes de equipos originales (OEM) durante la fabricación. El titular de la PK controla la configuración de arranque seguro.

Clave de intercambio de claves (KEK) : Esta clave gestiona las actualizaciones de las bases de datos de arranque seguro. Generalmente mantenida por Microsoft, los fabricantes de equipos originales (OEM) o los administradores de la empresa, una KEK válida permite a terceros certificados actualizar los certificados y las bases de datos gestionados por UEFI.

Base de datos de firmas permitidas (DB) : Contiene hashes y certificados para cargadores de arranque y componentes del sistema operativo de confianza. Si una firma coincide con una entrada en la DB, el firmware permite su ejecución.

Base de datos de firmas prohibidas (DBX) : Esta lista bloquea todo aquello que antes era de confianza y que ahora se encuentra comprometido. Las actualizaciones de la DBX son esenciales para revocar los gestores de arranque vulnerables. La CA-2011 inició estos procesos de revocación, y Microsoft planea eliminarla gradualmente en 2026, adoptando progresivamente la CA-2023.

¿Por qué es vital el arranque seguro?

El arranque seguro está diseñado para prevenir rootkits, bootkits y otras amenazas de malware previas al sistema operativo. Una vez que los atacantes acceden a la cadena de arranque, pueden evadir la detección y operar sin ser detectados. El arranque seguro ofrece una protección fundamental contra este tipo de intrusiones.

Si bien el arranque seguro es, en teoría, una solución robusta, su implementación práctica suele ser compleja y fragmentada. Su importancia ha aumentado y, aunque funciona eficazmente cuando está en óptimas condiciones, pueden surgir problemas que resultan frustrantes y consumen mucho tiempo para los usuarios.

El compromiso CA-2023 que acaparó la atención

A principios de 2023, Microsoft reveló una grave vulnerabilidad de seguridad relacionada con los binarios antiguos del Administrador de arranque de Windows que podría permitir la elusión de los protocolos de arranque seguro. En respuesta, Microsoft lanzó la actualización de revocación CA-2023 DBX, que impidió el funcionamiento de los gestores de arranque defectuosos e introdujo un nuevo gestor de arranque firmado con un certificado compatible y resistente a dichas vulnerabilidades.

Razones que justifican esta acción

Actores maliciosos habían comenzado a explotar gestores de arranque obsoletos para eludir las protecciones de arranque seguro. Por lo tanto, revocar estos binarios era crucial para mantener la integridad del ecosistema.

¿Por qué esto comprometió los sistemas?

Una multitud de fabricantes de equipos originales se enfrentaron a:

  • Configuraciones de firmware obsoletas
  • Implementación desigual de DB/DBX
  • Procesos de actualización defectuosos
  • Implementaciones de arranque seguro no estándar
  • Configuraciones de claves incompletas o incorrectas
  • El firmware ignora las actualizaciones de DBX.
  • El firmware inutiliza prácticamente los sistemas tras las actualizaciones de DBX.

Este proceso de revocación puso de manifiesto años de deuda técnica sin resolver. A menudo, el simple hecho de intentar actualizar el sistema provocaba fallos importantes, como que los ordenadores no se reiniciaran o, en casos extremos, no arrancaran en absoluto.

Consecuencias de CA-2023

Millones de ordenadores experimentaron uno o más problemas, tales como:

  • Arranque seguro habilitado pero sin aplicar las revocaciones.
  • El arranque seguro está desactivado debido a actualizaciones fallidas.
  • El arranque seguro se queda atascado en «Modo de usuario» con claves que no coinciden.
  • Los sistemas no pueden arrancar después de las actualizaciones de DBX.
  • Firmware que se resistió a implementar la actualización CA-2023

Este problema no fue exclusivo de Microsoft, sino que representó una deficiencia generalizada en toda la industria. Los usuarios con sistemas afectados se enfrentaron a numerosos problemas. Por ejemplo, mi PC Ryzen 5 con placa base ASRock B550 Extreme4 presentó varios fallos que me obligaron a reemplazar la placa base.

Descifrando la “Cadena de arranque seguro”

Para comprender la turbulencia que provocó la ley CA-2023, debemos revisar sistemáticamente la cadena de confianza:

  1. El firmware comprueba la validez de la clave primaria (PK).
  2. El firmware autentica las KEK para las actualizaciones de DB y DBX.
  3. El firmware carga las bases de datos DB y DBX, definiendo las acciones permitidas y prohibidas.
  4. El firmware verifica el gestor de arranque. Si coincide con una entrada en la base de datos y no está presente en la base de datos DBX, la ejecución continúa.
  5. El gestor de arranque inspecciona los componentes del sistema operativo, validando las firmas de winload.efilos controladores y de varios componentes de arranque inicial.
  6. El sistema operativo arranca tras verificar la confianza y, a continuación, se produce el funcionamiento normal.

Sin embargo, estos pasos ofrecen amplias oportunidades para que surjan complicaciones. Una infinidad de problemas pueden interrumpir el proceso, entre ellos:

  • Falta una firma en la base de datos.
  • KEK obsoletos
  • Una clave primaria incorrecta
  • Gestión inadecuada de las actualizaciones de firmware
  • Cargadores de arranque incompatibles (ya que Windows puede utilizar una copia distinta de la partición EFI en comparación con la instancia almacenada en C:\Windows)

Estas discrepancias pueden provocar que el Arranque Seguro no aplique correctamente sus protocolos de seguridad. Por ejemplo, mi sistema mostró mensajes erróneos sobre «cambios en la CPU», lo que complicó aún más el proceso de arranque.

Problemas comunes de arranque seguro según los fabricantes de placas base

El lanzamiento de CA-2023 puso de manifiesto importantes disparidades en la competencia del firmware entre los distintos proveedores. Algunas máquinas funcionaron a la perfección, mientras que otras presentaron problemas que iban desde pequeños fallos hasta averías totales. Analicemos cómo los diferentes fabricantes superaron estas dificultades.

ASUS: Muchas placas base ASUS requerían inicialmente la desactivación del arranque seguro para aplicar las actualizaciones de DBX, lo que generaba una situación paradójica. En otros casos, las actualizaciones dejaban los sistemas en un estado de «revocación parcial».

MSI: Varias placas base de MSI presentaron problemas con:

  • Manejo inconsistente de las actualizaciones de DBX
  • El firmware ignora las actualizaciones.
  • Modos de arranque seguro que no coinciden con las etiquetas de la interfaz de usuario.
  • Reversión inesperada a las claves de fábrica

ASRock: Los usuarios a menudo se enfrentaban a la necesidad de intervención manual, entre las que se incluyen:

  • Limpieza de llaves
  • Restauración de valores predeterminados de fábrica
  • Reinscripción de claves de Microsoft
  • Aplicación de actualización manual de DBX

La documentación solía ser insuficiente, lo que generaba incertidumbre entre muchos usuarios. Por ejemplo, mis dos placas base B550 Extreme4, aparentemente idénticas, presentaban problemas de actualización completamente diferentes, lo que me causó mucha frustración.

Fabricantes de equipos originales (Dell, HP, Lenovo, etc.): En general, manejaron mejor la situación, pero aún así se enfrentaron a:

  • Plazos de implementación desiguales
  • Programación inconsistente de actualizaciones de BIOS/UEFI
  • Sistemas que requieren múltiples reinicios para modificaciones de DBX

Al consultar foros como answers.microsoft.com, TenForums.com y TechPowerUp.com, muchos usuarios reportaron problemas con el arranque seguro tanto en portátiles como en ordenadores de sobremesa, especialmente en sistemas personalizados y modelos de gama alta. Muchos usuarios lidiaron en silencio con la dificultad de encontrar soluciones.

Cómo solucionar los fallos de actualización del arranque seguro

Utilice la información del sistema (msinfo32) para verificar el estado del arranque seguro.
Utilizar la utilidad Información del sistema para confirmar el estado de Arranque seguro en Windows

Cuando falla el arranque seguro, los usuarios pueden experimentar situaciones en las que las actualizaciones de Windows indican que se han realizado correctamente sin que se modifique realmente la lista de revocación (DBX).Los sistemas pueden parecer tener el arranque seguro habilitado, pero sin aplicar sus restricciones o, en última instancia, arrancar sin realizar comprobaciones de conformidad. Esto puede provocar discrepancias en el gestor de arranque y otros problemas agravados por un hardware inestable.

Claves incompatibles (PK/KEK/DB/DBX) : Si la clave primaria (PK) o la clave de administración (KEK) están desactualizadas, pueden impedir que el firmware acepte actualizaciones de la base de datos. Las soluciones recomendadas incluyen:

  • Restablecer a la configuración de fábrica o a las claves predeterminadas (normalmente accesible en UEFI cuando el arranque seguro está en modo personalizado).
  • Vuelva a registrar las claves de Microsoft (volver a aplicar una actualización de Microsoft puede obligarle a hacerlo).

El firmware ignora las actualizaciones de DB o DBX : Algunos equipos pueden requerir acciones específicas para habilitar las actualizaciones, como deshabilitar temporalmente el arranque seguro o el módulo de compatibilidad (CSM).Puede ser necesario experimentar con diferentes configuraciones para encontrar la solución.

Cargadores de arranque obsoletos : El uso de medios de instalación de Windows antiguos podría implicar el uso de cargadores de arranque que ya no cumplen con los estándares de arranque seguro. Esta complicación se agravará a medida que Microsoft revoque cada vez más los componentes de CA-2011. Las tácticas de reparación recomendadas incluyen:

  • Ejecuta Windows Update para reemplazar los gestores de arranque obsoletos con versiones actuales.
  • Reconstruir los archivos de arranque usando la bcdbootutilidad
  • Asegúrese de que la partición EFI funcione correctamente y repárela si es necesario.

Errores o anomalías del firmware : Se recomienda actualizar o flashear la UEFI antes de activar el arranque seguro, especialmente en dispositivos antiguos. Si hay actualizaciones de firmware disponibles, tenga en cuenta estas recomendaciones:

  • Utilice la última versión estable del firmware.
  • Aplique las actualizaciones o cápsulas proporcionadas por el proveedor para los cambios en la base de datos de Secure Boot.
  • Permitir que Windows Update funcione una vez que el firmware esté actualizado.

Siguiendo un enfoque sistemático y haciendo hincapié en las actualizaciones de firmware y de Windows, los usuarios pueden reducir el riesgo de encontrarse con problemas relacionados con el arranque seguro (Secure Boot).

Utilización de herramientas comunitarias para solucionar problemas de arranque seguro

El lanzamiento de CA-2023 facilitó el surgimiento de soluciones impulsadas por la comunidad, mejorando la experiencia del usuario. En particular, Garlin, miembro de la comunidad, creó útiles scripts de PowerShell que ayudan significativamente a los usuarios, logrando grandes avances en la comprensión del funcionamiento interno del firmware.

Sus scripts ofrecen diversas funciones, entre ellas:

  • Enumeración de claves de arranque seguro
  • Validación de entradas DB/DBX
  • Detección de cargadores de arranque incompatibles
  • Verificación del estado de cumplimiento
  • Generación de informes detallados del sistema
Salida del archivo Check_UEFI-CA2023.ps1 en el ordenador de sobremesa MSI MAG B550
Salida del script Check_UEFI-CA2023.ps1 en un ordenador de sobremesa MSI MAG B550

Los resultados de los scripts de Garlin revelan la presencia de claves de intercambio de claves (KEK) de CA 2011 y CA 2023, junto con UEFI CA 2011 y varias entradas de CA 2023. A pesar de la ausencia de certificados DBX, esto ilustra el estado de manera efectiva.

Importancia de estos scripts : La mayoría de los proveedores ofrecen una visibilidad limitada del estado completo del arranque seguro de un PC, y la inconsistencia en las interfaces del firmware dificulta el diagnóstico. Los scripts de Garlin resultan fundamentales para desmitificar el proceso de arranque seguro, revelando información más detallada sobre las actualizaciones y correcciones necesarias.

Pasos a seguir cuando el arranque seguro no implementa las actualizaciones

Aquí tienes un flujo de trabajo estructurado para restaurar la funcionalidad de arranque seguro:

  1. Verificar el estado actual : utilice PowerShell o los scripts de Garlin para investigar:
  • PAQUETE
  • KEK
  • base de datos
  • DBX
  • Estado de aplicación
  • Versiones del gestor de arranque
  • Actualización de firmware : Descargue e instale la última actualización de BIOS/UEFI.
  • Restablecer las claves a los valores predeterminados de fábrica : desactive temporalmente el arranque seguro, configure el modo en modo personalizado y, a continuación, restaure o restablezca las claves de fábrica.
  • Reactive el arranque seguro : asegúrese de que CSM esté desactivado para permitir que el arranque seguro funcione.
  • Aplicar actualizaciones de DBX : Utilice Windows Update o las cápsulas del proveedor para implementar las actualizaciones.
  • Reconstruir archivos de arranque (si es necesario) : Ejecute este comando bcdboot C:\Windows /f UEFIpara recrear los archivos de arranque según sea necesario.
  • Volver a verificar el estado : Confirme que DBX incluye entradas de CA 2023 utilizando el script de Garlin.
  • La ejecución de scripts de PowerShell está bloqueada por la configuración predeterminada.
    Es posible que los scripts de PowerShell de fuentes de terceros requieran desbloqueo para su ejecución.

    Recomendaciones para una renovación del arranque seguro

    Si bien la implementación de CA 2023 y los esfuerzos continuos para modernizar el cumplimiento de Secure Boot han tenido avances prometedores, también han puesto de manifiesto fallos e inconsistencias críticas dentro del sistema. Los fabricantes de equipos originales (OEM) deben mejorar la estandarización y la coherencia en las implementaciones de firmware, junto con una mejor documentación y guías para la resolución de problemas.

    Actualmente, los procesos de actualización son frágiles, lo que conlleva el riesgo de complicaciones que afectan al funcionamiento normal. Experimenté problemas frustrantes con mi placa base ASRock, en marcado contraste con el funcionamiento impecable de mis dispositivos Lenovo. Esta diferencia tan marcada subraya que la integridad del arranque seguro es tan fuerte como su componente más débil, lo que hace que los procedimientos de actualización sean innecesariamente complicados.

    Responsabilidades de Microsoft, los fabricantes de equipos originales (OEM) y los usuarios.

    Todas las partes involucradas deben colaborar para mejorar el estado actual del Arranque Seguro. Microsoft debería aplicar directrices más estrictas para la certificación y mejorar las herramientas de diagnóstico. Los fabricantes de equipos originales (OEM) deberían estandarizar el comportamiento del firmware de forma más exhaustiva y probar minuciosamente las actualizaciones de la base de datos. En cuanto a los usuarios, es fundamental mantener medidas de seguridad rigurosas mediante actualizaciones periódicas del firmware y la gestión activa del estado del Arranque Seguro.

    Para cumplir con la promesa del Arranque Seguro como medida de protección contra accesos no autorizados al sistema, todas las partes interesadas deben actuar con decisión y responsabilidad. Este compromiso garantiza un entorno informático fiable y seguro.

    La relevancia continua del arranque seguro

    El arranque seguro sigue siendo un componente fundamental del marco de seguridad de Windows, pero la experiencia con CA 2023 subraya la necesidad de mejoras sistémicas. Afortunadamente, el sector se está adaptando: los proveedores de firmware están evolucionando, Microsoft está implementando protocolos más estrictos y están surgiendo recursos comunitarios para subsanar las deficiencias. Sin embargo, la confianza requiere diligencia y una reafirmación constante, y el arranque seguro no es una excepción.

    Al enfrentarte a cualquier problema con el Arranque Seguro, controla cuidadosamente el tiempo que dedicas a resolverlos. Una solución que tome medio día es aceptable; si tarda más, quizás sea necesario explorar alternativas o considerar el reemplazo de hardware. Si bien Windows puede funcionar sin el Arranque Seguro, las soluciones a largo plazo pueden implicar actualizar el hardware o replantear la configuración del sistema.¡La decisión final es tuya!

    Fuente e imágenes