Vamos a explicarte qué es Secure Boot y para qué sirve. Lo más probable es que hayas escuchado hablar o leído acerca de esta funcionalidad de tu placa base, especialmente si te gusta instalar sistemas operativos alternativos a Windows. En esta guía encontrarás toda la información que necesitas.
No olvides que Secure Boot está integrado en la BIOS o, su versión más reciente, UEFI. Por lo tanto, deberás acudir a ella para configurar paso a paso esta función, de forma parecida a cuando deseas arrancar tu equipo desde un USB. Teniendo esto en cuenta, es momento de comenzar a resolver dudas con respecto a esta protección.
¿Qué es BIOS y UEFI?
Antes de hablar de Secure Boot, es interesante que hagamos algunas aclaraciones. Por eso, permítenos que te expliquemos qué es BIOS y UEFI, pues Secure Boot está estrictamente relacionado con ambos conceptos.
BIOS es el acrónimo de Basic Input Output System. Aparece por primera vez allá por el año 1975 y su principal función es la de inicializar todos los componentes del ordenador y lanzar el sistema operativo. BIOS cuenta con infinidad de parámetros básicos que influyen en el comportamiento de los diferentes elementos de hardware.
En definitiva, se trata de un software muy simple, integrado en la placa base, que se ejecuta antes del sistema operativo instalado y que tiene un gran impacto en el comportamiento del equipo.
Por su parte, UEFI es el acrónimo de Unified Extensible Firmware Interface. Nuevamente, hablamos de un firmware que se instala en la placa base y se encarga de poner en marcha el equipo. Fue creado en 2002 por Intel y presenta algunas características más modernas, como, por ejemplo, la posibilidad de utilizar el ratón para acceder a los distintos menús. Ahora bien, en realidad sus funciones principales son idénticas a las de BIOS.
¿Qué es Secure Boot y para qué sirve?
Si has leído el anterior apartado ya sabes que tu placa base cuenta con un sistema operativo propio, denominado en este caso firmware, con opciones que modifican el comportamiento del ordenador y de los componentes de hardware principales. Uno de esos parámetros es Secure Boot, la característica que nos ocupa en esta guía.
Secure Boot, también conocido como arranque seguro, es una característica de UEFI que llegó a partir de Windows 8. Se trata de una protección que impide la ejecución de cualquier sistema que no esté certificado o firmado.
Es evidente que se trata de una protección muy interesante a la hora de proteger tu equipo de malware. ¿Por qué? Debido a que se ubica en la BIOS o UEFI, la prevención se produce mucho antes de que el código malicioso haya sido ejecutado. De este modo, decimos que esta es una medida de seguridad temprana, muy diferente a lo que sería Smart Screen o un antivirus, que se ejecutan sobre el sistema operativo.
¿Qué no es Secure Boot?
Es importante responder a esta pregunta. Históricamente, esta medida de seguridad ha generado polémica, especialmente entre la comunidad Linux. El motivo es que algunas distribuciones no están firmadas y, por tanto, no se pueden instalar manteniendo el arranque seguro activado. Primero hay que deshabilitar la protección y, después, instalar la distribución Linux.
Indagando en el asunto, nos ha llamado la atención un fragmento de la Wiki de Debian, sistema operativo Linux en el que se basa Ubuntu. Allí dejan muy claro que Secure Boot no es un entorno cerrado en el que únicamente permite la instalación de Windows. Lo expresa de la siguiente manera:
UEFI Secure Boot no es un intento de Microsoft de bloquear Linux fuera del mercado de PC aquí. Secure Boot es una medida de seguridad para proteger contra malware durante el inicio temprano del sistema. Microsoft actúa como una autoridad de certificación (CA) para Secure Boot, y firman programas en nombre de otras organizaciones de confianza para que sus programas también funcionen. Existen ciertos requisitos de identificación que las organizaciones deben cumplir y el código tiene que ser auditado por seguridad. Pero estos no son demasiado difíciles de lograr.
Por otro lado, también dedican unas palabras a aquellos que dicen que está diseñado para que el usuario no pueda cambiar de sistema operativo en su ordenador. La traducción de la Wiki dice lo siguiente:
Secure Boot tampoco está destinado a impedir que los usuarios controlen sus propios sistemas Los usuarios pueden inscribir claves adicionales en el sistema, lo que les permite firmar programas para sus propios sistemas. Muchos sistemas habilitados para Secure Boot también permiten que los usuarios eliminen las claves proporcionadas por la plataforma por completo, forzando el firmware para que sólo confíe en los archivos binarios firmados por el usuario.
Teniendo esto en cuenta, es evidente que el arranque seguro realmente está ahí por seguridad y no como una medida monopolística de Microsoft. No lo decimos nosotros, sino el propio equipo de Debian, toda una institución en el mundo linuxero.
En la actualidad, las distribuciones más importantes de Linux dan soporte a Secure Boot, es decir, están firmadas como legítimas. Estas son algunas de las que podrás instalar en tu equipo:
- Ubuntu
- Red Hat
- Fedora
- SUSE
- Debian
Incluso sistemas operativos alternativos, como Chrome OS Flex, están firmados y son compatibles con esta capa de seguridad. ¿Quiere decir que no se pueden instalar aquellos sistemas operativos que no cuentan con una certificación para Secure Boot?
¿Cómo desactivar Secure Boot?
Secure Boot no es una característica permanente. Lo cierto es que se puede desactivar con relativa facilidad. Así, podrás instalar cualquier software en tu PC, incluso si no ha sido firmado por Microsoft. Basta con entrar a la configuración UEFI BIOS de tu equipo y localizar la entrada Secure Boot.
Como cualquier otra capa de protección, no está exenta de vulnerabilidades. Y tú, ¿qué opinas de Secure Boot? ¿Crees que es una medida de protección u oculta intereses por parte de Microsoft? Déjanos tu opinión en los comentarios.
