¿Linux funcionará con arranque seguro?

La mayoría de las distribuciones principales, sí: Ubuntu, Fedora, Debian, openSUSE, todas incluyen correcciones firmadas que funcionan de inmediato. Algunas distribuciones más pequeñas y compilaciones personalizadas requieren la inscripción manual de claves. Arch Linux requiere más configuración pero es totalmente compatible.

¿Cuál es la diferencia entre arranque seguro y arranque verificado?

Mismo concepto general, diferentes ecosistemas. Secure Boot es el estándar UEFI/PC. Arranque verificado es el equivalente de Android (y el término que Apple usa para partes del arranque de macOS Big Sur+). El término de ChromeOS también es Arranque verificado. Todas las firmas criptográficas en cadena desde el firmware hasta el kernel.

¿Puedo instalar Windows 11 sin arranque seguro?

Oficialmente no, es obligatorio. Existen soluciones no oficiales, pero Microsoft señala que no serán compatibles a largo plazo y pueden fallar con las actualizaciones. A efectos prácticos, Windows 11 = Arranque seguro = TPM 2.0.

¿Es el arranque seguro una puerta trasera para Microsoft?

La clave de firma UEFI de Microsoft es universalmente confiable; Los archivos binarios de Microsoft se ejecutan en todas las PC con arranque seguro. Eso es ventaja, pero no es realmente una puerta trasera: Microsoft no ve sus datos, no envía código a su máquina fuera de Windows Update. La preocupación arquitectónica (una parte con amplia autoridad para firmar) es real, pero el impacto práctico es limitado.

¿Qué sucede durante las actualizaciones del BIOS con Secure Boot?

Las actualizaciones de firmware están firmadas y verificadas. La infraestructura de firma está separada de la base de datos en el momento del arranque; Los proveedores pueden implementar actualizaciones de firmware sin interrumpir el arranque. Los usuarios de BitLocker pueden ver un mensaje de recuperación después de actualizaciones importantes de firmware porque las medidas de la cadena de arranque cambiaron.

Explicación del arranque seguro: cómo su computadora verifica el sistema operativo antes de ejecutarlo

Antes de que se cargue el sistema operativo, se ejecutan varias capas de código: firmware, gestor de arranque y kernel. Cada uno es un objetivo potencial de ataque. Secure Boot es la cadena de verificación criptográfica que garantiza que solo se ejecute código aprobado y firmado durante el arranque. Detiene silenciosamente una categoría de malware anterior al sistema operativo que alguna vez fue devastadora y ahora es poco común.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Secure Boot es la característica UEFI que verifica las firmas criptográficas en cada componente ejecutado durante el arranque, negándose a ejecutar cualquier cosa que no esté firmada por una clave confiable. Se defiende contra bootkits y rootkits que intentan cargarse antes de que el sistema operativo pueda defenderse.

La cadena de arranque

Una PC moderna arranca a través de varias etapas:

Firmware UEFI: reemplaza el BIOS heredado, se ejecuta primero desde un chip flash SPI en el placa base
Bootloader: Administrador de arranque de Windows, GRUB, systemd-boot o shim
Kernel: Windows, Linux, macOS (XNU) u otros
Init/userspace: servicios, controladores, daemons

Sin arranque seguro, el malware que obtuvo administración una vez puede reemplazar el gestor de arranque para garantizar que se cargue en cada arranque posterior antes de que cualquier antivirus pueda detectarlo. Bootkits como Mebroot (2007), Olmasco (2010) y Mosaic Regressor (2020) utilizaron exactamente esta técnica.

Cómo funciona el arranque seguro

El firmware UEFI contiene una base de datos de claves públicas que representan firmantes confiables. Al cargar el gestor de arranque, el firmware verifica su firma con esas claves. Si la firma no es válida o está ausente y el archivo no está en una base de datos de la lista blanca, el firmware se niega a ejecutarlo y el arranque falla.

Las claves son:

PK (Clave de plataforma): la raíz. Normalmente, la clave del fabricante del hardware. Controla quién puede actualizar otras claves.
KEK (Claves de intercambio de claves): claves autorizadas para actualizar la base de datos y DBX.
DB (Base de datos de firmas): la lista permitida de archivos binarios y claves de firma.
DBX (Firma prohibida) Base de datos): claves y binarios bloqueados explícitamente. Se actualiza cuando se descubren cargadores de arranque comprometidos.

La clave de firma UEFI de Microsoft se encuentra prácticamente en la base de datos de todas las PC que salen de fábrica. Los gestores de arranque de Microsoft están universalmente permitidos; los cargadores de arranque firmados por otras CA requieren entradas explícitas en la base de datos.

Linux y shim

La mayoría de las distribuciones de Linux incluyen un pequeño cargador de arranque llamado shim, firmado por Microsoft. Shim es el único componente de Linux en el que Secure Boot confía previamente. A su vez, valida el gestor de arranque de la distribución real (GRUB) y el kernel con las claves que incorpora la distribución. Esta cadena de tres capas permite que Linux funcione con arranque seguro sin necesidad de que cada distribución negocie la confianza de la clave UEFI con cada proveedor de hardware.

Para los usuarios que desean soberanía total, pueden reemplazar la PK con su propia clave y firmar todo usted mismo. Requiere un conocimiento más profundo de Linux pero proporciona una confianza de arranque totalmente autónoma.

El kit de arranque BlackLotus y lo que enseñó

En 2023, el kit de arranque BlackLotus fue el primer malware documentado públicamente que eludió el arranque seguro en la naturaleza. Explotó una vulnerabilidad conocida pero sin parchear (CVE-2022-21894, "Baton Drop") en un gestor de arranque de Microsoft. El gestor de arranque estaba firmado y era confiable; la vulnerabilidad permitió a los atacantes ejecutar código que anulaba las comprobaciones de arranque seguro posteriores.

La solución: revocar el gestor de arranque vulnerable agregando su hash a DBX. La implementación fue complicada porque enviar actualizaciones de DBX a miles de millones de PC conlleva riesgos de compatibilidad. Microsoft lo manejó de forma incremental hasta 2023-2024.

Secure Boot y TPM juntos

Secure Boot evitan que se ejecute código no autorizado. TPM registra lo que se ejecutó a través de los registros de configuración de la plataforma. La combinación proporciona arranque medido: registro demostrable de exactamente lo que se cargó, verificable mediante servicios remotos para la certificación del estado del dispositivo.

BitLocker se integra con ambos: el cifrado del disco está sellado en el TPM, que solo libera la clave si el arranque seguro se completó normalmente y los PCR coinciden. Modifique el gestor de arranque, incluso con firmas válidas, y BitLocker requerirá recuperación.

Limitaciones

No protege después del arranque. Una vez que el sistema operativo se está ejecutando, el malware con privilegios suficientes puede hacer su trabajo. El arranque seguro es una defensa durante el arranque.
Depende de la integridad del almacén de claves. Un atacante con acceso físico a veces puede inyectar claves en la base de datos. Las implementaciones de los proveedores varían en resistencia.
No valida el firmware en sí. El firmware UEFI es el que realiza la validación. Una UEFI comprometida es el caso de falla de la raíz de confianza. Intel Boot Guard, AMD Platform Secure Boot y similares amplían la confianza al firmware.
Fricción de compatibilidad. Algunas herramientas heredadas, configuraciones de arranque dual y configuraciones inusuales no funcionan bien con Secure Boot. La mayoría de los usuarios no lo notarán; algunos casos de uso específicos sí.

¿Deberías apagarlo?

Para usuarios típicos: no. La protección es real, la fricción es menor y Windows 11 la requiere. Las distribuciones de Linux admiten ampliamente el arranque seguro mediante shim. Existen razones para deshabilitarlo (kerneles personalizados sin volver a firmar, ciertos escenarios de virtualización, compatibilidad de hardware muy antiguo), pero son de nicho y cambian la seguridad real por una conveniencia menor.

Preguntas frecuentes

¿Linux funcionará con arranque seguro?: La mayoría de las distribuciones principales, sí: Ubuntu, Fedora, Debian, openSUSE, todas incluyen correcciones firmadas que funcionan de inmediato. Algunas distribuciones más pequeñas y compilaciones personalizadas requieren la inscripción manual de claves. Arch Linux requiere más configuración pero es totalmente compatible.
¿Cuál es la diferencia entre arranque seguro y arranque verificado?: Mismo concepto general, diferentes ecosistemas. Secure Boot es el estándar UEFI/PC. Arranque verificado es el equivalente de Android (y el término que Apple usa para partes del arranque de macOS Big Sur+). El término de ChromeOS también es Arranque verificado. Todas las firmas criptográficas en cadena desde el firmware hasta el kernel.
¿Puedo instalar Windows 11 sin arranque seguro?: Oficialmente no, es obligatorio. Existen soluciones no oficiales, pero Microsoft señala que no serán compatibles a largo plazo y pueden fallar con las actualizaciones. A efectos prácticos, Windows 11 = Arranque seguro = TPM 2.0.
¿Es el arranque seguro una puerta trasera para Microsoft?: La clave de firma UEFI de Microsoft es universalmente confiable; Los archivos binarios de Microsoft se ejecutan en todas las PC con arranque seguro. Eso es ventaja, pero no es realmente una puerta trasera: Microsoft no ve sus datos, no envía código a su máquina fuera de Windows Update. La preocupación arquitectónica (una parte con amplia autoridad para firmar) es real, pero el impacto práctico es limitado.
¿Qué sucede durante las actualizaciones del BIOS con Secure Boot?: Las actualizaciones de firmware están firmadas y verificadas. La infraestructura de firma está separada de la base de datos en el momento del arranque; Los proveedores pueden implementar actualizaciones de firmware sin interrumpir el arranque. Los usuarios de BitLocker pueden ver un mensaje de recuperación después de actualizaciones importantes de firmware porque las medidas de la cadena de arranque cambiaron.