Secure Boot en Windows 10: qué es, cómo activarlo y desactivarlo

Si usas Windows 10 y has oído hablar de Secure Boot (Arranque seguro), probablemente te hayas encontrado con un mar de explicaciones técnicas, advertencias y opiniones contradictorias. La realidad es que Secure Boot es una capa de seguridad muy potente, pero también puede darte quebraderos de cabeza si quieres instalar otros sistemas operativos, usar ciertas herramientas avanzadas o lidiar con hardware un poco veterano.

En esta guía vas a encontrar todo lo que necesitas saber: qué es exactamente Secure Boot en Windows 10, cómo comprobar si lo tienes activo, cómo activarlo y desactivarlo paso a paso, qué limitaciones tiene, cuándo conviene apagarlo, qué riesgos asumes si lo dejas deshabilitado y cómo se lleva con Windows 11, Linux y los videojuegos modernos. Todo explicado en español “de la calle” pero sin perder el rigor técnico.

Qué es Secure Boot en Windows 10 y para qué sirve

Secure Boot (o Arranque seguro) es una función de seguridad del firmware UEFI presente en los PCs modernos (desde Windows 8 en adelante). Su misión es sencilla de entender: impedir que durante el arranque del ordenador se ejecute cualquier software que no esté autorizado o correctamente firmado digitalmente.

Cuando enciendes el PC, antes de que se cargue Windows, el firmware UEFI comprueba las firmas criptográficas del sistema operativo, los controladores y otros componentes de arranque. Si todo está en la lista de software de confianza (claves y certificados autorizados), permite que se cargue. Si detecta algo que no está firmado o está modificado, lo bloquea.

De esta forma, Secure Boot actúa como filtro contra bootkits, rootkits y otros malware de muy bajo nivel, que suelen engancharse al proceso de arranque para ocultarse del antivirus e incluso sobrevivir a formateos. Es una defensa en una zona muy delicada del sistema: la parte que arranca el sistema operativo.

Desde Windows 10, Microsoft dejó de tratar Secure Boot como algo puramente opcional a nivel de sistema y trasladó la pelota a los fabricantes: ellos deciden si permiten desactivar Secure Boot o lo bloquean siempre activo en los equipos que venden. Por eso en algunos ordenadores apenas puedes tocar esta función y en otros tienes margen total.

Ventajas e inconvenientes de tener Secure Boot activado

La gran ventaja de Secure Boot es la seguridad. Al limitar el arranque solo a software firmado, reduce de forma notable la posibilidad de que se cuelen programas maliciosos que modifican el arranque del sistema. Esto es especialmente útil en entornos profesionales o en equipos donde la integridad de los datos es crítica.

Además, en Windows 10 y sobre todo en Windows 11, Secure Boot es la base de otras tecnologías de defensa como la seguridad basada en virtualización (VBS) o ciertas protecciones contra controladores maliciosos que se intentan inyectar en el kernel. También se apoya en él BitLocker a la hora de comprobar si el entorno de arranque ha cambiado.

Ahora bien, no todo son flores. Al imponer esa verificación estricta, Secure Boot trae algunas limitaciones en el día a día, sobre todo si eres un usuario avanzado o te gusta cacharrear con el PC.

Limitaciones y problemas habituales con Secure Boot

El principal freno de Secure Boot es que todo lo que se cargue en el arranque debe estar firmado y reconocido. Eso incluye sistemas operativos, algunos controladores y herramientas de diagnóstico que arrancan desde USB o CD.

En la práctica, esto implica que:

• Algunas distribuciones de Linux no arrancan con Secure Boot activado, porque no incluyen las firmas adecuadas o no han implementado soporte para esta función.
• Ciertos Live CD/USB de diagnóstico, recuperación o particionado pueden negarse a arrancar si no tienen controladores y bootloaders firmados.
• Hardware antiguo, como tarjetas gráficas viejas o dispositivos sin firmware moderno, puede dar problemas al intentar arrancar con Secure Boot activo.

En el ámbito del gaming, la mayoría de juegos modernos funciona perfectamente con Secure Boot activado. Sin embargo, hay casos concretos en los que algunos sistemas antitrampas muy agresivos, a nivel de kernel, pueden tener conflictos con la configuración del arranque seguro o con las protecciones adicionales (sobre todo en Windows 11).

Por el lado contrario, hay juegos que directamente exigen que uses Secure Boot. Títulos multijugador competitivos como algunos Battlefield, Call of Duty o los de Riot (Valorant, League of Legends) han llegado a requerir Secure Boot y TPM 2.0 para endurecer el entorno y complicar la vida a los cheaters que intentan colarse a bajo nivel en el sistema.

Riesgos de desactivar Secure Boot en Windows 10

Cuando desactivas Secure Boot, estás abriendo la puerta a que durante el arranque se ejecute cualquier cosa que el firmware no pueda validar. Lo más parecido sería cerrar la puerta de casa pero dejar la llave puesta por fuera: puede que nunca pase nada… o puede que un día tengas un susto serio.

Los principales riesgos de tener Secure Boot desactivado son:

• Rootkits y bootkits: este tipo de malware se instala justo en la parte de arranque (a veces en la propia partición de sistema EFI o en el MBR/GPT). Si se carga antes de Windows, puede ocultarse a los antivirus y persistir incluso después de formatear el disco.
• Ataques físicos (Evil Maid): si dejas el portátil sin vigilancia en la oficina, en una biblioteca o una cafetería, alguien con un USB preparado podría modificar el arranque para colar un software que capture tus contraseñas de inicio y las envíe por Internet sin que te enteres.
• Desactivación de VBS y otras protecciones: la seguridad basada en virtualización de Windows depende de Secure Boot. Si lo desactivas, también se cae esa protección, y con ella algunas defensas contra controladores o código malicioso a nivel de kernel.
• Menor control con BitLocker: en equipos cifrados con BitLocker, Secure Boot ayuda a comprobar si el entorno de arranque ha sido alterado. Si está apagado, esa comprobación se debilita y se pueden saltar avisos importantes.

Por todo esto, para un uso “normal” de Windows 10 (ofimática, navegación, juegos, trabajo habitual) es muy recomendable mantener Secure Boot activado. Solo tiene sentido desactivarlo en situaciones concretas y sabiendo lo que haces.

Cuándo puede interesar desactivar Secure Boot

Hay escenarios en los que, por mucho que a Microsoft y a los fabricantes les encante Secure Boot, no te queda más remedio que apagarlo un rato si quieres hacer algo específico con el PC.

Los casos más frecuentes son:

• Instalar o arrancar ciertas distribuciones de Linux que no ofrecen compatibilidad con Secure Boot. Si la distro no tiene el bootloader y los controladores firmados, el firmware la bloqueará.
• Usar Live CDs o herramientas de recuperación antiguas, que carecen de firmas modernas y no pasan el filtro del arranque seguro.
• Arrancar desde hardware o tarjetas que el firmware no reconoce bien con Secure Boot activo (por ejemplo, algunas gráficas antiguas o controladoras peculiares).
• Realizar tareas muy avanzadas de diagnóstico, pruebas o recuperación en entornos de laboratorio donde la prioridad es la flexibilidad y el control total, y la seguridad se gestiona de otras maneras.

En estos casos, lo razonable es desactivar Secure Boot solo mientras haces esas tareas, y volver a activarlo en cuanto termines. Eso sí, tocar la configuración de la BIOS/UEFI no es un juego: si te equivocas, puedes dejar el equipo sin arrancar y necesitar ayuda profesional.

Por eso es muy recomendable que, antes de tocar nada, anotes en algún sitio cómo estaba todo configurado para poder revertir cambios si el PC deja de arrancar como debe.

Requisitos previos para activar Secure Boot en Windows 10

Antes de lanzarte a activar Secure Boot, es importante comprobar un par de cosas en tu equipo. Si tu sistema no cumple ciertos requisitos, el arranque seguro no funcionará correctamente y puedes terminar con errores de inicio.

Comprobar si el sistema ya usa UEFI y Secure Boot

Lo primero es ver en qué estado estás ahora mismo:

1. Pulsa Windows + R para abrir el cuadro Ejecutar.
2. Escribe msinfo32 y pulsa Intro.
3. En la ventana de Información del sistema, localiza los campos “Modo BIOS” y “Estado de arranque seguro”.

Interpretación de los resultados:

• Si el Modo BIOS es UEFI y el Estado de arranque seguro aparece como Activado, ya lo tienes todo en orden.
• Si el Modo BIOS es UEFI pero el Estado de arranque seguro está Desactivado, puedes ir a la BIOS/UEFI y activarlo.
• Si el Modo BIOS es Heredado / Legacy / CSM, primero tendrás que migrar a UEFI y probablemente convertir el disco de MBR a GPT.
• Si pone que el Estado de arranque seguro es No compatible, es probable que tu placa base sea demasiado antigua y no soporte Secure Boot.

Ver si el disco está en MBR o GPT

Secure Boot exige que la unidad donde está instalado Windows use particionado GPT (GUID Partition Table). Si tu disco sigue en MBR, tendrás que convertirlo.

Para comprobarlo:

1. Haz clic derecho en el botón Inicio y elige Administración de discos.
2. En la parte inferior, haz clic derecho sobre el disco donde está Windows (normalmente Disco 0, con la unidad C:) y selecciona Propiedades.
3. Ve a la pestaña Volúmenes y busca el campo Estilo de partición.

Si indica “Tabla de particiones GUID (GPT)”, perfecto. Si aparece MBR (registro de arranque maestro), tendrás que hacer la conversión.

Convertir un disco de MBR a GPT con mbr2gpt

Windows 10 incorpora una herramienta de línea de comandos llamada mbr2gpt que permite convertir un disco de MBR a GPT sin borrar los datos, aunque siempre existe cierto riesgo. Haz copia de seguridad de todo lo importante antes de ponerte.

1. Abre el Símbolo del sistema como administrador (busca “cmd”, clic derecho, Ejecutar como administrador).
2. Asegúrate de que en la ventana se muestre que estás en una consola con permisos de administrador.
3. Escribe:
   mbr2gpt /validate /disk:0 /allowFullOS
   cambiando el número de disco si tu sistema no está en el Disco 0 (puedes verlo en Administración de discos).
4. Si la validación es correcta, ejecuta:
   mbr2gpt /convert /disk:0 /allowFullOS

Tras la conversión, es posible que tengas que entrar en la BIOS/UEFI y cambiar el modo de arranque a UEFI (y desactivar CSM/Legacy) para que el sistema vuelva a iniciar correctamente.

TPM 2.0: importante para Windows 11, no obligatorio para Secure Boot

Para Windows 10, TPM 2.0 no es requisito para usar Secure Boot, aunque sí lo es para Windows 11. Aun así, conviene verificar si lo tienes disponible y activado:

1. Pulsa Windows + R, escribe tpm.msc y pulsa Intro.
2. En la ventana del Módulo de plataforma segura, revisa el apartado Estado.

Si ves algo como “TPM listo para usarse”, está habilitado. Si no, deberás entrar en la BIOS/UEFI y buscar opciones del tipo TPM, fTPM, PTT o similar en menús de Seguridad o Avanzado, y activarlo desde ahí si piensas dar el salto a Windows 11.

Cómo activar Secure Boot en Windows 10 paso a paso

Una vez tengas claro que tu disco está en GPT, que estás en modo UEFI (o vas a cambiarte a él) y que tu placa soporta Secure Boot, toca entrar en la configuración de la BIOS/UEFI para activar el arranque seguro.

Acceder a la BIOS/UEFI desde Windows o con teclas de arranque

Hay dos maneras principales:

• Por teclas de arranque: reinicia el PC y, nada más encender, pulsa repetidamente la tecla que use tu fabricante para entrar en la BIOS/UEFI. Suele ser Supr, F2, F10, F12 o Esc, dependiendo del modelo (Dell, HP, ASUS, Lenovo, MSI, etc.).
• Desde el propio Windows 10:
  1. Ve a Configuración > Actualización y seguridad > Recuperación.
  2. En el apartado Inicio avanzado, haz clic en Reiniciar ahora.
  3. Cuando aparezca el menú azul, elige Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI y pulsa Reiniciar.

Tras ese reinicio, el equipo ya no arrancará Windows sino que entrará directamente en la pantalla de configuración del firmware.

Localizar las opciones de Secure Boot y CSM

Cada BIOS/UEFI tiene su propia “personalidad”, pero en general encontrarás las opciones que nos interesan en pestañas del estilo Boot, Seguridad, Advanced, Authentication o similares.

En equipos de fabricantes como ASUS, por ejemplo, puedes estar en una interfaz UEFI simplificada o en un modo avanzado (a menudo se entra con F7). En esas pantallas deberás buscar:

• La opción Secure Boot / Arranque seguro.
• Alguna configuración relacionada con CSM, Legacy Boot o modo heredado, que normalmente debe estar desactivada para que Secure Boot funcione.
• En algunos sobremesa ASUS, el ajuste Tipo de SO / OS Type, que suele tener valores como “Modo UEFI de Windows” u “Otro SO”.

Configurar UEFI, desactivar CSM y habilitar Secure Boot

Los pasos típicos (pueden variar un poco según la placa) son:

1. En la pestaña de arranque o configuración avanzada, busca CSM, Legacy Support o similar y ponlo en Disabled / Desactivado.
2. Si existe una opción de Tipo de SO / OS Type, selecciona algo como “Windows UEFI mode”, “Modo UEFI de Windows” o equivalente, no “Otro SO”.
3. En el menú de Seguridad / Security o Arranque / Boot, localiza Secure Boot.
4. Si tu BIOS lo separa, pon Secure Boot Control en Enabled / Habilitado. En otras verás directamente el ajuste de Secure Boot en Enabled/Disabled.

En determinados modelos, sobre todo en portátiles o placas que protegen más la configuración, no podrás cambiar Secure Boot hasta que definas una contraseña de administrador para la BIOS. En ese caso:

1. Ve a la pestaña Main o Security y busca algo como Administrator Password.
2. Crea una contraseña (que recuerdes bien) y confírmala.
3. Vuelve después a la sección de arranque y ya deberías poder modificar Secure Boot.

Ten en cuenta que es muy recomendable borrar esa contraseña cuando acabes. Normalmente se hace volviendo al mismo apartado, introduciendo la contraseña actual y dejando los campos de nueva contraseña en blanco.

Gestión de claves y claves de fábrica

Algunas BIOS permiten, o incluso exigen, que gestiones las claves de Secure Boot para poder habilitar correctamente la función. Suelen llamarse cosas como:

• Key Management / Gestión de claves
• Reset to Setup Mode (borrar las bases de datos de claves actuales)
• Restore Factory Keys / Install Default Secure Boot Keys (instalar las claves de fábrica, normalmente las de Microsoft y fabricantes autorizados)

El procedimiento típico si el estado de Secure Boot aparece como “No activo” o no termina de funcionar es:

1. En la página de Secure Boot, activar Secure Boot Control y luego entrar en Key Management.
2. Elegir Reset to Setup Mode para limpiar las bases de datos actuales.
3. Confirmar con Yes cuando pregunte si quieres eliminar las claves.
4. Después, seleccionar Restore Factory Keys / Install Default Secure Boot Keys para cargar las claves por defecto de fábrica.
5. Guardar cambios y salir (normalmente con F10 y luego Aceptar).

En algunas placas de sobremesa, verás que el estado de Secure Boot no se cambia directamente, sino en función de si hay claves cargadas o no. Por ejemplo, estado “User” cuando hay claves instaladas y “Setup” cuando no las hay.

Guardar cambios, salir y comprobar desde Windows

Cuando hayas ajustado CSM, el modo de SO, Secure Boot y, si toca, las claves, ve al menú de “Guardar y salir / Save & Exit”, elige “Guardar cambios y salir” y confirma.

El equipo se reiniciará. Si todo ha ido bien, entrará en Windows 10 normalmente. Ahora solo queda verificar en msinfo32 que el cambio se ha aplicado:

1. Vuelve a pulsar Windows + R, escribe msinfo32 y pulsa Intro.
2. Comprueba que el Modo BIOS figure como UEFI.
3. Mira el campo Estado de arranque seguro. Si aparece Activado, misión cumplida.

Cómo desactivar Secure Boot en Windows 10 con seguridad

Para apagar Secure Boot, el recorrido es similar, pero a la inversa. Eso sí, antes de desactivarlo conviene que valores los riesgos e incluso que hagas una copia de seguridad de tus datos. Si usas BitLocker o cifrado de dispositivo, es especialmente importante anotar y conservar tu clave de recuperación.

Los pasos generales son:

1. Accede a la BIOS/UEFI con las teclas de arranque o desde Inicio avanzado en Windows 10, como se ha explicado antes.
2. En el menú de seguridad o arranque, localiza Secure Boot / Arranque seguro.
3. Si tu BIOS lo permite, cambia Secure Boot Control o la opción principal de Secure Boot a Disabled / Deshabilitado.
4. En algunos sobremesa de ASUS, por ejemplo, basta con cambiar el Tipo de SO de “Modo UEFI de Windows” a “Otro SO” para que el firmware desactive Secure Boot.
5. Guarda cambios y sal con F10 o desde el menú “Guardar y salir”.

Al reiniciar, el PC arrancará sin las comprobaciones de Secure Boot, por lo que podrás iniciar sistemas operativos que antes no pasaban el filtro, usar ciertos Live USB, herramientas antiguas, etc. Si en algún momento necesitas volver a la protección, repite el proceso y vuelve a poner Secure Boot en Enabled.

Dual boot y arranques con Secure Boot activado o desactivado

Una duda muy habitual es si, una vez que activas Secure Boot, puedes seguir arrancando otros sistemas operativos en dual boot o si te obliga a tener todo el rato Windows como único rey del mambo.

La respuesta es: depende de cuán compatible sea el otro sistema operativo con Secure Boot. Algunas distros de Linux modernas como Ubuntu, Fedora o Zorin OS incluyen soporte para arrancar con Secure Boot activado, gracias a que sus bootloaders están firmados y reconocidos. En esos casos, puedes mantener Secure Boot activo y seguir arrancando ambos sistemas.

En cambio, muchas otras distribuciones Linux todavía no han dado ese salto, y con Secure Boot activado simplemente no arrancan. No es un problema de Windows como tal, sino de que el firmware bloquea cualquier software sin la firma adecuada.

Si quieres usar una distro que no soporte Secure Boot, tienes varias opciones:

• Desactivar Secure Boot cuando vayas a arrancar con Linux, y volver a activarlo para usar Windows.
• Instalar esa distro en una máquina virtual dentro de Windows (con VirtualBox, VMware, Hyper-V en versiones Pro, etc.), evitando así toquetear el arranque físico.
• Optar por una distribución compatible con Secure Boot si necesitas sí o sí mantener esta función activa.

Lo que no es práctico es estar activando y desactivando Secure Boot todos los días cada vez que cambias de sistema; además de pesado, aumenta las posibilidades de cometer un error en la BIOS y liarla.

Secure Boot, Windows 11 y compatibilidad de hardware

El TPM 2.0 añade una capa extra de cifrado y gestión segura de claves a nivel de hardware, lo que complica mucho que alguien pueda atacar el sistema solo por software. Entre TPM y Secure Boot, el objetivo de Microsoft es blindar el arranque y el entorno del sistema operativo frente a amenazas muy avanzadas.

Si tu equipo no es muy antiguo y usas Windows 10 pero no ves Secure Boot activado en msinfo32, lo más probable es que:

• La opción de Secure Boot esté desactivada en la BIOS/UEFI y puedas activarla siguiendo los pasos anteriores.
• El equipo siga en modo Legacy/CSM con disco MBR, y debas convertir a GPT y pasar a UEFI para poder usar arranque seguro.

Si ni en la BIOS encuentras referencias a Secure Boot, entonces sí, podría ser el momento de ir pensando en renovar hardware si quieres dar el salto a Windows 11 con todas las garantías de seguridad.

Secure Boot y Linux: distros compatibles y alternativas

La relación entre Secure Boot y Linux ha sido, digamos, complicada. No todas las distribuciones han implementado soporte para el arranque seguro, pese a que la tecnología lleva ya años sobre la mesa.

En general:

• Distribuciones como Ubuntu, Fedora o Zorin OS ofrecen compatibilidad con Secure Boot, por lo que puedes instalarlas y arrancarlas con esta función activa.
• Muchas otras distros más pequeñas, especializadas o antiguas no han dado ese paso, y con Secure Boot activado simplemente no inician.

Si quieres usar una distro que no sea compatible y no deseas estar tocando la BIOS cada dos por tres, tienes varias alternativas:

• Instalarla en una máquina virtual sobre Windows usando herramientas como VirtualBox o VMware (esta última se ha vuelto gratuita para uso doméstico desde mediados de 2024). Así mantienes Secure Boot activo en el sistema anfitrión.
• Si trabajas con versiones Pro de Windows, puedes recurrir a Hyper-V, aunque es una solución algo más compleja y orientada a usuarios avanzados.
• Elegir una distro Linux que sí soporte Secure Boot, especialmente si tu objetivo es tener un dual boot limpio con Windows 10 o 11.

En entornos donde solo vayas a usar Linux en la máquina física, es habitual que la gente desactive Secure Boot de forma permanente, sobre todo si la distro elegida no está preparada. Eso sí, ahí ya pierdes la capa de protección del arranque que aporta el firmware.

Dudas frecuentes sobre Secure Boot en Windows 10

A continuación, algunas de las preguntas que más se repiten entre usuarios que trastean con Secure Boot y Windows 10:

¿Tiene que estar Secure Boot activado ya durante la instalación de Windows 10?
No es obligatorio que estuviera activo desde el primer momento. Puedes activarlo después de instalar Windows 10 siempre que tu equipo esté usando UEFI y el disco esté en GPT. Si tras activarlo Windows arranca bien y en msinfo32 ves “Estado de arranque seguro: Activado”, está funcionando correctamente.

Si activo Secure Boot, ¿puedo desactivarlo temporalmente para arrancar otro sistema?
Sí. Secure Boot se controla desde la BIOS/UEFI, no desde Windows. Puedes desactivarlo para arrancar otro sistema operativo o una herramienta concreta, y luego volver a activarlo para usar Windows. Eso sí, es un engorro estar cambiando continuamente y aumenta el riesgo de cometer errores en la configuración.

¿Desactivar Secure Boot es muy peligroso?
No es que el ordenador vaya a explotar, pero incrementas el riesgo de que ciertas amenazas de muy bajo nivel puedan colarse. Si trabajas con datos sensibles, usas el PC en entornos poco controlados o no tienes mucha experiencia, es mejor dejarlo activo siempre que sea posible.

¿Cómo saber si un juego necesita Secure Boot o TPM para funcionar?
En plataformas como Steam a veces se indica en la columna de requisitos, y el propio cliente intenta detectar si tu PC tiene TPM y arranque seguro habilitados, aunque esa detección no siempre es fiable. Lo más seguro es revisar la documentación oficial del juego o las notas del desarrollador.

¿Por qué algunos PCs preensamblados no dejan usar Linux con Secure Boot?
Muchos equipos salen de fábrica con Secure Boot activado y configurado solo para sistemas firmados que el fabricante ha contemplado (normalmente Windows). En ciertos modelos, o bien tienes que desactivarlo para poder arrancar Linux, o bien no hay manera oficial de instalar otro sistema sin perder esa protección, algo que conviene preguntar antes de comprar.

Todo lo que rodea a Secure Boot en Windows 10 puede parecer lioso al principio, pero una vez entiendes la lógica es mucho más llevadero: protege el arranque permitiendo solo software firmado, exige UEFI y GPT, se lleva bien con Windows 11 y con algunas distros Linux modernas, y se puede activar o desactivar desde la BIOS cuando necesitas más flexibilidad. La clave está en saber en qué punto estás, tocar la configuración con cuidado y tener muy claro cuándo te interesa priorizar seguridad y cuándo realmente necesitas sacrificarla temporalmente para hacer lo que quieres con tu equipo.