Secure Boot es una función de seguridad de UEFI (Interfaz de firmware extensible unificada) que garantiza que solo software de confianza pueda iniciarse en tu PC. Valida las firmas digitales de los cargadores de arranque del sistema operativo, controladores y otros componentes de arranque temprano para bloquear código malicioso (p. ej., rootkits) que intente manipular el proceso de inicio.
El objetivo principal es endurecer la cadena de arranque evitando cambios no autorizados. Esto es especialmente relevante para sistemas modernos como Windows 11, donde Secure Boot y TPM 2.0 forman parte de los requisitos oficiales (aunque Windows 11 aún puede instalarse y usarse mediante ciertos métodos de omisión). Para Linux y otros sistemas operativos, es opcional pero útil, normalmente implementado mediante cargadores de arranque firmados con shim.
En los juegos en línea, algunas soluciones anti‑cheat también aprovechan esta función para verificar la integridad de la plataforma y reducir las trampas. Se utiliza ampliamente en entornos empresariales y en muchas distribuciones de Linux para proteger contra software no confiable durante el arranque.
¿Está presente Secure Boot en la BIOS/UEFI de las placas X99 chinas?
En la mayoría de los casos, sí — pero no siempre. Las placas madre LGA2011‑3 chinas se producen desde 2019, cuando este requisito no era tan prominente. Como resultado, no todas las versiones de firmware incluyen la funcionalidad necesaria. Afortunadamente, la función es más común que el soporte TPM 2.0 integrado. Si necesitas tanto TPM 2.0 como Secure Boot, prepárate para invertir tiempo buscando un firmware adecuado — especialmente en modelos raros o placas basadas en chipsets poco convencionales.
Este proceso lleva tiempo, y contar con un programador SPI es prácticamente esencial, ya que la información fiable de compatibilidad es escasa y puede ser necesario proceder por prueba y error, con el riesgo de brickear la placa. Para placas populares, puedes ahorrar tiempo comprando una iEngineer BIOS personalizada que incluya funciones ampliadas y soporte tanto para Secure Boot como para módulos TPM 2.0.
Preparativos para configurar Secure Boot
Antes de configurar y habilitar la función, desactiva el Módulo de compatibilidad (CSM). Los ajustes se encuentran en Advanced → CSM Configuration.
Asegúrate de que tu SO esté instalado en modo UEFI, el disco use GPT (no MBR) y tu GPU/VBIOS sea compatible con UEFI GOP.
Para apagar CSM:
Establece el modo UEFI para Video, Almacenamiento y Otros dispositivos PCI.
Guarda la configuración de la BIOS, reinicia y regresa al menú de CSM.
Establece “CSM Support” en “Disabled”.
Guarda y reinicia. Si obtienes una pantalla en negro, tu tarjeta gráfica probablemente carece de soporte UEFI GOP. Limpia el CMOS con un jumper o retirando la batería por unos minutos.
Si todo salió bien, procede a la configuración.
Dónde habilitarlo y configurarlo en la BIOS/UEFI
La mayoría del firmware LGA2011‑3 chino está basado en AMI Aptio V y comparte una estructura similar. El menú Secure Boot se encuentra bajo la pestaña Security. Ahí verás el estado actual, opciones para habilitar/deshabilitar, selección de modo y gestión de claves.
Si no ves este menú, lo más probable es que tu firmware carezca del soporte necesario. Puedes confirmarlo volcando la BIOS (por ejemplo, con Intel FPT o AFUDOS) y abriéndola en AMIBCP.
Versión de BIOS sin arranque seguro ni TPM 2.0
Versión de BIOS compatible con Secure Boot y TPM 2.0
Para habilitar correctamente Secure Boot:
Entra a la BIOS → Security → menú Secure Boot.
Abre Key Management.
Selecciona “Delete all Secure Boot variables” y confirma.
Luego elige “Enroll all Factory Default Keys” y confirma. Opcionalmente, puedes usar “Provision Factory Default Keys” en su lugar. Ambas acciones cargan y activan el conjunto estándar de claves incrustado en el firmware UEFI.
Regresa al menú anterior y establece Secure Boot en Enabled (en algunos casos podría requerirse reiniciar primero).
Guarda, reinicia y abre el menú de nuevo — ahora deberías ver el estado como Active.
Listo para iniciar el SO.
Bases de datos de claves y su función
Este mecanismo utiliza una jerarquía de claves criptográficas y bases de datos almacenadas en la NVRAM de UEFI para validar firmas. Los componentes principales son:
Platform Key (PK): La clave raíz que controla toda la política. Normalmente la instala el OEM; autoriza otras claves. Cambiar la PK debe hacerse con cuidado, ya que puede bloquear efectivamente la plataforma.
Key Exchange Key (KEK): Se usa para actualizar de forma segura las bases de permitidos/denegados (db y dbx) sin un restablecimiento completo.
Authorized Signatures (db): La lista de permitidos de certificados y hashes (p. ej., Microsoft para Windows, o claves de shim) que permiten arrancar software firmado.
Forbidden Signatures (dbx): La lista de denegados de firmas/certificados revocados o comprometidos para bloquear componentes maliciosos conocidos.
Authorized Timestamps (dbt): Una base de datos para firmas de la autoridad de sellado de tiempo (TSA) según RFC 3161. En muchas placas chinas suele estar vacía (0).
Comprobar el estado en Windows
A través de PowerShell
Abre PowerShell como Administrador (Win+S → escribe “PowerShell” → clic derecho → Ejecutar como administrador).
Ejecuta: Confirm-SecureBootUEFI
Resultado:
True: Habilitado.
False: Deshabilitado.
A través de Información del sistema
Presiona Win+R, escribe msinfo32, presiona Enter.
En Información del sistema, localiza Estado de arranque seguro.
On: Activo.
Off: Deshabilitado.
Si la línea no aparece, la plataforma no es compatible con esta función.
Especialista senior en hardware que demuestra que no necesitas equipos de gama alta para jugar. Experto en actualizaciones inteligentes y restauración de PCs económicas.
Publicado: 4 de marzo de 2026
Actualizado: 6 de marzo de 2026
