- Secure Boot protege el arranque cargando solo software firmado; desactivarlo no daña el hardware, pero reduce la seguridad prearranque.
- Desactivarlo puede ser necesario para Linux/Batocera o Windows antiguos; vuelve a activarlo después si usas Windows 10/11.
- En Windows 11, UEFI+TPM 2.0+Secure Boot son clave; tras actualizar o resetear BIOS puede que debas reactivarlos.
- Si Secure Boot figura como No activo, restaura las claves de fábrica desde la UEFI (Key Management) y guarda con F10.
Si te estás preguntando qué pasa al desactivar Secure Boot es porque seguramente te has topado con un aviso al intentar arrancar desde un USB de una distro Linux, Batocera u otro sistema no firmado. No te preocupes: es una duda muy común y tiene explicación. Aquí vas a encontrar qué es exactamente esta función, cuándo conviene apagarla, cómo hacerlo paso a paso y qué implicaciones reales tiene en seguridad, compatibilidad y arranque.
Además, verás casos prácticos como instalar Linux, Batocera o Windows antiguos, así como lo que debes saber si tienes Windows 11: UEFI, Secure Boot y TPM 2.0 van de la mano. También repasamos situaciones típicas en BIOS/UEFI de ASUS y cómo solucionar el estado de Secure Boot No activo restaurando las claves de fábrica.
Qué es Secure Boot y por qué existe
Secure Boot, o arranque seguro, es una función del firmware UEFI que permite que el equipo solo ejecute durante el arranque software firmado y considerado de confianza, normalmente con llaves respaldadas por los fabricantes y, en PCs con Windows, por Microsoft. Su misión es impedir que se carguen bootkits, rootkits o cargadores manipulados antes del sistema operativo.
Con la llegada de UEFI en la era de Windows 8, Secure Boot se convirtió en un pilar de la cadena de arranque. Este control anterior al propio sistema operativo ha sido especialmente útil contra malware persistente que se engancha en el proceso de inicio, pero trajo consigo una consecuencia: si algo no está firmado con las claves aceptadas por el firmware, no arranca.
¿Cómo afecta esto a Linux y otros sistemas? Durante años fue un quebradero de cabeza, porque muchas distribuciones no tenían cargadores firmados por Microsoft. Hoy varias distros, como Ubuntu en 64 bits, incluyen shim/GRUB firmado y son compatibles; aun así, no todas lo son y, en algunos equipos, siguen apareciendo bloqueos si las claves o el modo de firmware no encajan.
Hay otro matiz importante: con Windows 10 Microsoft dejó de exigir a los fabricantes que Secure Boot fuese desactivable. Esto significa que, según el equipo, puede que sí puedas apagarlo… o puede que no. Depende de tu placa/base o del portátil, y de lo que haya decidido el OEM en su UEFI.
Qué ocurre si desactivas Secure Boot
Lo primero: no vas a dañar el hardware ni «estropear» el sistema por desactivarlo. Es un ajuste de firmware. Quitar Secure Boot reduce la protección en el arranque, pero no hace cambios físicos ni degrada componentes. El impacto es de seguridad: pierdes esa barrera que evita que arranque software no verificado.
Ahora bien, desactivarlo puede ser necesario y legítimo en varios escenarios. Por ejemplo, para arrancar sistemas no firmados (Batocera, algunas distros Linux, herramientas de diagnóstico) o al intentar usar versiones antiguas de Windows que no se adaptan al arranque seguro.
En el mundo real sucede mucho: intentas iniciar Batocera desde USB y te salta un mensaje feo de arranque seguro. Apagar Secure Boot suele desbloquear el arranque del pendrive y te permitirá probar o instalar sin ese bloqueo previo. Eso sí, conviene volver a activarlo cuando termines si vas a usar Windows como sistema principal.
Conviene recordar que Secure Boot no sustituye a un antivirus ni a buenas prácticas. Es un control de integridad del arranque. Deshabilitarlo no te expone automáticamente al desastre, pero abre una ventana que los malware de bajo nivel podrían aprovechar si tu equipo se ve comprometido.
Cuándo conviene mantenerlo activado
Si usas Windows 10 u 11 como sistema principal y no tienes necesidad de herramientas o sistemas alternativos, lo sensato es dejar Secure Boot activado. Es una capa más contra amenazas que manipulan el arranque, ayuda a la estabilidad de la cadena de arranque y no debería interferir con tu día a día.
También es preferible mantenerlo activo en equipos gestionados o sensibles (ofimática, trabajo, estudio) donde la prioridad sea asegurar la integridad del arranque y el cumplimiento de requisitos de seguridad del fabricante o de la organización.
Cómo desactivar Secure Boot (dos caminos)
El ajuste está en la UEFI/BIOS. Puedes llegar desde Windows o con una tecla al iniciar. La ruta exacta cambia según el fabricante, pero hay patrones comunes.
Entrada directa a UEFI/BIOS con tecla: al encender el PC, pulsa la tecla que indique la pantalla de inicio. Suele ser F1, F2, F12 o Esc, y en algunos sobremesa antiguos Supr. Si el arranque es rápido, prueba varias veces o activa el retardo de POST en la configuración.
Desde Windows (Inicio avanzado): ve a Configuración > Actualización y seguridad > Recuperación y pulsa Reiniciar ahora en Inicio avanzado. Tras reiniciar, elige Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI. Acepta reiniciar de nuevo y entrarás en la UEFI.
Ya dentro de la UEFI, localiza Secure Boot. Suele estar en pestañas como Security, Boot o Authentication. Selecciona Secure Boot y cambia el valor de Enabled a Disabled. Guarda y sal (normalmente con F10) para aplicar los cambios y reiniciar.
Apunte importante: si usas BitLocker o Cifrado de dispositivo, al cambiar opciones de arranque la unidad puede pedir la clave de recuperación en el siguiente arranque. Ten a mano la clave antes de tocar estos ajustes y consulta nuestro diagnóstico de problemas de arranque para no quedarte bloqueado.
Notas específicas para placas y portátiles ASUS
En muchos equipos ASUS, entras a la UEFI con F2 mientras enciendes. Luego, pulsa F7 para el Modo avanzado. Busca Seguridad > Secure Boot y entra a Control de arranque seguro. Allí podrás ajustar a Habilitado o Deshabilitado. Guarda con F10 y reinicia para que surta efecto.
En algunos sobremesa ASUS, la opción aparece como Tipo de SO: Modo UEFI de Windows (activa Secure Boot) u Otro SO (lo desactiva). Si cambias entre estos modos, el estado de Secure Boot cambia en consecuencia y conviene guardar y salir para que se refleje.
Si ves Secure Boot No activo, habilita el control de Secure Boot y restaura las claves de fábrica. En portátiles y AIO, puedes ir a Gestión de claves (Key Management), elegir Reset To Setup Mode y luego Restore Factory Keys. En sobremesa, a veces hay que poner Secure Boot Mode en Custom, limpiar claves (Clear Secure Boot Keys) e instalar las predeterminadas (Install Default Secure Boot Keys).
En la interfaz MyASUS en UEFI, los pasos son muy similares: activa Secure Boot Control, entra en Key Management, pulsa Reset To Setup Mode y luego Restore Factory Keys. Guarda cambios con F10 para que quede activo tras el reinicio.
Cómo volver a habilitar Secure Boot
Si lo desactivaste para instalar una gráfica, un sistema o una herramienta, puedes reactivarlo siguiendo el mismo camino hasta el ajuste de Secure Boot. Cambia a Enabled y guarda con F10.
En algunos equipos, para reactivarlo tendrás que seleccionar el modo Personalizado/Custom y cargar las claves incorporadas por el fabricante. Si no te deja habilitarlo, prueba a restablecer la UEFI a valores de fábrica y repite la activación.
Si tras habilitar Secure Boot el equipo no arranca, vuelve a la UEFI y desactívalo temporalmente. Eso suele indicar que el sistema que intentas iniciar no está firmado o que falta alguna clave de confianza en la base de datos de la UEFI. Si persiste, consulta cómo reparar el arranque con Bootrec.
Linux, arranque dual y el caso de Batocera
Con Linux, el panorama ha mejorado: algunas distros modernas son compatibles con Secure Boot y arrancan sin tocarlo (por ejemplo, Ubuntu 64-bit con shim firmado). No obstante, otras distribuciones o herramientas no firmadas siguen bloqueadas, y ahí es donde desactivar Secure Boot facilita mucho las cosas.
Batocera, enfocado al retro-gaming, suele arrancar desde USB. Si te aparece el mensaje de Secure Boot y pantalla de error al intentar iniciar, apagar esta función te permitirá probarlo o instalarlo. No es raro ni malo: simplemente el cargador no está firmado con claves que tu UEFI reconozca.
¿Consecuencias duraderas? No hay efectos permanentes sobre el hardware ni el software. Es un interruptor de política de arranque. Eso sí, recuerda volver a activarlo si regresas a tu Windows habitual y quieres recuperar esa capa de protección prearranque.
En equipos donde el fabricante no permite desactivarlo, plantéate usar distros compatibles con Secure Boot o revisar si el OEM ofrece actualizaciones de firmware con claves actualizadas que añadan soporte a más cargadores.
Windows 7: nostalgia sí, pero con matices
Mucha gente intenta instalar Windows 7 por nostalgia y se encuentra pantallazos o reinicios. Si necesitas arrancar en modo seguro, esa guía puede ayudarte, pero desactivar Secure Boot es casi imprescindible para intentarlo, porque Windows 7 fue diseñado para BIOS/Legacy y no para el arranque seguro moderno. No obstante, que desaparezca el bloqueo del arranque no garantiza que se eviten pantallazos azules.
¿Por qué? Drivers y soporte. Windows 7 finalizó su soporte en enero de 2020. En hardware moderno faltan controladores nativos (USB 3.0, NVMe, chipsets recientes), lo que puede provocar errores de instalación o inestabilidad. Además, la seguridad es inferior y no recibe parches.
Si aun así lo intentas, puede que debas activar CSM/compatibilidad heredada, preparar un USB con drivers inyectados, e incluso formatear el disco a MBR. Nada de esto es recomendable en un equipo principal: complica el arranque y compromete funciones modernas de seguridad.
Por todo ello, la recomendación razonable es usar Windows 10 u 11. Si tu objetivo es simplemente ejecutar software clásico, plantéate una máquina virtual o compatibilidad en un sistema soportado.
Windows 11: UEFI, Secure Boot y TPM 2.0
Windows 11 exige UEFI, TPM 2.0 y compatibilidad con Secure Boot. Tras actualizar o resetear tu BIOS, puede que UEFI, Secure Boot o el fTPM/AMD PSP TPM queden desactivados y tengas que reactivarlos manualmente. No es raro que la configuración por defecto no los deje activados, incluso en BIOS con soporte para Windows 11.
¿Arranca Windows 11 si están desactivados? Puede arrancar si ya estaba instalado, pero te quedarás fuera de los requisitos de seguridad y podrías tener problemas con algunas actualizaciones o validaciones. Lo ideal es reactivar UEFI (arranque sin CSM), Secure Boot y TPM 2.0 en la UEFI.
Si cambias a UEFI puro y el equipo deja de encontrar Windows, quizá tu disco siga en MBR. Puedes convertirlo a GPT sin formatear con la herramienta de Microsoft mbr2gpt. Primero valida así: mbr2gpt /validate /disk:0 /allowfullOS. Si la validación es correcta, realiza la conversión con el comando correspondiente y reinicia en modo UEFI. Para casos de conversión y reparación del arranque, consulta cómo analizar y reparar el arranque.
Ten presente que activar CSM suele desactivar Secure Boot y puede requerir MBR y reinstalación. Evita mezclar CSM con Windows 11: apóyate en UEFI, GPT y TPM para mantener compatibilidad y seguridad.
BitLocker y otros avisos al tocar la UEFI
Si tu disco está cifrado, modificar opciones de arranque puede activar la pantalla de recuperación de BitLocker o del Cifrado de dispositivo. Asegúrate de tener localizada tu clave en tu cuenta Microsoft o en el portal corporativo antes de cambiar nada.
Algunos fabricantes actualizan la base de claves de confianza con nuevas versiones de firmware. Mantén la UEFI al día para ampliar compatibilidades y reducir avisos de arranque seguro con software legítimo firmado.
Solución: Secure Boot aparece como No activo
Si ves el estado No activo aunque lo tengas habilitado, restaura las claves de Secure Boot desde la UEFI. El procedimiento típico es entrar en Seguridad > Secure Boot > Gestión de claves y usar Reset To Setup Mode seguido de Restore Factory Keys. Guarda y reinicia.
En sobremesa con opciones avanzadas, usa el modo Custom para limpiar e instalar las claves por defecto: Clear Secure Boot Keys y luego Install Default Secure Boot Keys. Tras ello, vuelve a establecer el modo estándar si existe, habilita Secure Boot y guarda cambios.
¿Y si no encuentro la opción o no me deja desactivar?
Como comentábamos, algunos equipos no exponen el interruptor para desactivar Secure Boot o lo esconden según el modo del firmware. Prueba a cambiar entre modos Simple/Avanzado (F7 en muchas ASUS) y revisa Seguridad/Arranque/Autenticación.
Si no aparece de ningún modo, es posible que el fabricante lo haya bloqueado. En ese caso solo podrás usar sistemas compatibles y firmados con las claves presentes; contacta con el soporte del OEM para confirmar si existe un firmware alternativo que lo permita.
Compatibilidad con tarjetas gráficas y otros dispositivos
Hay escenarios en los que instalar cierta GPU o hardware puede forzar a desactivar Secure Boot temporalmente. Si tras el cambio tu equipo no arranca con Secure Boot activo, prueba a desactivarlo, instalar el dispositivo y, más tarde, vuelve a habilitarlo para comprobar si todo funciona.
Recuerda que algunas utilidades de diagnóstico o instalación de terceros tampoco están firmadas y serán bloqueadas con Secure Boot. Arrancar desde USB con estas herramientas suele requerir el apagado temporal del arranque seguro.
Buenas prácticas para no liarte
Antes de tocar nada, anota el estado actual de UEFI/CSM, Secure Boot y TPM. Haz fotos con el móvil a la configuración si es necesario: te ayudará a revertir cambios si algo no sale como esperabas.
Si tu objetivo es dual boot con Linux, empieza por una distro compatible con Secure Boot y solo apágalo si es imprescindible. Así reduces fricciones con Windows 10/11 y evitas perder la protección prearranque.
Cuando el estado de Secure Boot no coincide con lo que ves, restaurar claves suele ser la solución. Y recuerda guardar cambios con F10 o desde el menú Guardar y salir para que la UEFI aplique la nueva política.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.