Cómo comprobar si Secure Boot está activado desde CMD y PowerShell

El modo Secure Boot o Arranque Seguro es una función de seguridad incorporada en los sistemas que utilizan UEFI (Unified Extensible Firmware Interface), diseñada para asegurarse de que el equipo arranca utilizando únicamente software de confianza. Es especialmente importante en entornos donde la seguridad del sistema operativo y sus componentes debe estar garantizada desde el momento en que se enciende el equipo.

En muchas situaciones, como cuando se desea instalar un sistema operativo alternativo o verificar si el ordenador está preparado para estándares como los que exige Windows 11, puede ser necesario saber si el Secure Boot está activado. Esto se puede hacer fácilmente desde la línea de comandos en Windows utilizando herramientas como msinfo32 o el cmdlet de PowerShell Confirm-SecureBootUEFI.

¿Qué es el Arranque Seguro (Secure Boot) y para qué sirve?

Secure Boot es un mecanismo de seguridad presente en los sistemas UEFI que evita que se pueda ejecutar software no firmado o certificado durante el proceso de arranque. Esto impide, por ejemplo, la carga de malware o cualquier tipo de software que no provenga de una fuente verificada por el fabricante OEM.

Este sistema fue introducido por Microsoft con Windows 8 y ha sido parte fundamental de las mejoras de seguridad en versiones posteriores, incluido Windows 10 y Windows 11. Cuando está activado, el firmware UEFI comprueba que todas las firmas digitales de los controladores, sistemas operativos y software de arranque son válidas antes de permitir su ejecución.

Verificar si Secure Boot está habilitado desde Windows

En lugar de reiniciar el equipo y acceder directamente a la BIOS o UEFI, Windows permite consultar si el Secure Boot está activado usando herramientas ya integradas en el sistema. Esto simplifica muchísimo el proceso para usuarios que no tienen experiencia manipulando la configuración del firmware del equipo.

Opción 1: Información del sistema (msinfo32)

• Pulsa Windows + R para abrir el cuadro de ejecución.
• Escribe msinfo32 y presiona Enter.
• En la ventana que aparece, busca el campo Estado de arranque seguro.

Este campo mostrará uno de los siguientes valores:

• Habilitado: el sistema tiene Secure Boot activado.
• Deshabilitado: Secure Boot está inactivo, aunque disponible.
• No compatible: el firmware de tu equipo no soporta esta función.

Opción 2: Uso de PowerShell con Confirm-SecureBootUEFI

Para usuarios más avanzados, se puede abrir una consola de PowerShell con privilegios de administrador y ejecutar el siguiente comando:

Confirm-SecureBootUEFI

Este cmdlet devuelve:

• True: el Secure Boot está activado.
• False: el Secure Boot está desactivado.
• Error de compatibilidad: indica que el sistema no soporta UEFI o Secure Boot.

Este método es especialmente útil para scripts de auditoría o entornos empresariales donde se quiera automatizar la comprobación del estado de seguridad de múltiples equipos.

Errores comunes al ejecutar Confirm-SecureBootUEFI

Puede que al ejecutar el cmdlet obtengas un error como «Cmdlet not supported on this platform». Esto puede deberse a dos factores:

• Tu BIOS está configurada en modo heredado (Legacy) en lugar de UEFI.
• Tu firmware no tiene Secure Boot disponible o activo, algo habitual en equipos antiguos o personalizados.

Importancia del Secure Boot en Windows 11

Uno de los requisitos obligatorios para instalar Windows 11 es tener Secure Boot activado, junto con TPM 2.0. Esta decisión por parte de Microsoft responde a la necesidad de establecer bases más sólidas en términos de seguridad para los nuevos sistemas operativos. Secure Boot trabaja conjuntamente con otras tecnologías como BitLocker y Windows Hello para ofrecer un entorno más seguro desde el arranque.

Si tienes dudas sobre si tu equipo puede ejecutar Windows 11, comprobar el estado de Secure Boot es un paso esencial durante el diagnóstico. Puedes aprender más sobre cómo realizar este proceso accediendo a la BIOS o UEFI.

Revisión manual desde la BIOS o UEFI

Si después de utilizar los métodos anteriores sigues teniendo dudas o necesitas activar/desactivar Secure Boot, deberás acceder directamente a la BIOS/UEFI de tu equipo:

• Reinicia el ordenador y pulsa la tecla correspondiente para acceder a la BIOS (suele ser F2, Supr o Esc).
• Una vez dentro, busca la pestaña Security o Boot.
• Allí encontrarás la opción Secure Boot. Podrás cambiar su estado entre Enabled y Disabled.

Ten en cuenta que no todos los fabricantes permiten modificar esta configuración. En algunos casos, la opción puede estar bloqueada o no disponible si el sistema no cumple ciertos requisitos.

Compatibilidad y errores en entornos empresariales

En entornos como Microsoft Intune, puede darse el caso de que dispositivos aparezcan como no compatibles con los requisitos de seguridad a pesar de que Secure Boot esté habilitado. Esto ocurre especialmente cuando se trabaja con dispositivos con TPM 1.2, ya que muchas políticas requieren TPM 2.0, que necesita soporte completo de UEFI para funcionar correctamente. Si quieres entender mejor las diferencias entre estos módulos de TPM, revisa las diferencias entre TPM 1.2 y TPM 2.0.

Cuando una directiva MDM (Mobile Device Management) está configurada para exigir Secure Boot y TPM 2.0, los equipos que no cumplen alguno de estos requisitos pueden mostrarse como «No compatibles». Para evitar confusiones, es recomendable auditar correctamente la versión de TPM y la configuración del firmware, asegurando que:

• TPM está activado y visible desde la consola tpm.msc.
• El modo BIOS esté en UEFI, lo cual se puede comprobar con revisando la instalación de Windows 11.
• La configuración PCR7 esté enlazada a la protección del volumen.

Comprobar protecciones adicionales

Para verificar si el disco del sistema está protegido mediante PCR7 (Platform Configuration Register), puedes ejecutar desde PowerShell el siguiente comando:

manage-bde -protectors -get $env:systemdrive

Este comando muestra los protectores de BitLocker, y si se indica que está asociado a PCR7, significa que el arranque seguro y otras medidas de seguridad están funcionando correctamente.

Tipos de licencia y relación con Secure Boot

Las licencias OEM de Windows suelen estar vinculadas al hardware del equipo y su firmware. Esto significa que si tu dispositivo es OEM, es muy probable que ya tenga activado Secure Boot desde fábrica. Puedes comprobar tu tipo de licencia usando los siguientes comandos en CMD o PowerShell:

• slmgr /dli: muestra el tipo de licencia.
• slmgr /dlv: ofrece detalles más profundos.
• slmgr /upk: elimina la licencia.

También existe la licencia RETAIL, que se activa con tu cuenta de Microsoft, y no está restringida al hardware.

Conocer esta información también resulta útil para entender si tu sistema está diseñado para cumplir con estándares de seguridad como el Arranque Seguro. Para profundizar en cómo comprobar el estado del Secure Boot, puedes visitar este .

Es fundamental saber si Secure Boot está activo, ya que facilita la protección del sistema desde el inicio, además de ser un requisito para muchas plataformas y configuraciones de seguridad. Utilizar las herramientas integradas en Windows o acceder directamente a la BIOS garantiza una revisión eficiente y segura del estado de esta característica.

Artículo relacionado:

Cómo acceder a la BIOS o UEFI en tu ordenador con Windows 11

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.