Cómo activar Secure Boot en Windows 11 paso a paso

W11 » Seguridad en Windows 11 » Cómo activar Secure Boot en Windows 11 paso a paso

Si quieres instalar Windows 11 o jugar a ciertos títulos online y el sistema te muestra que necesitas activar el arranque seguro, no te preocupes: es algo que suena muy técnico, pero que se puede activar siguiendo una serie de pasos con calma. En este artículo vas a encontrar una guía completa y detallada para entender qué es exactamente Secure Boot, por qué lo pide Windows 11 y cómo activarlo en casi cualquier PC moderno.

A lo largo del texto verás que hablamos bastante de UEFI, BIOS, TPM 2.0, MBR o GPT, pero todo está explicado de forma sencilla, sin tecnicismos innecesarios y con advertencias claras para que no rompas nada importante. La idea es que, aunque seas nuevo en el mundo del PC (vienes de consola, de Mac o simplemente nunca has tocado la BIOS), puedas seguir los pasos con cierta tranquilidad y sepas qué riesgos asumes en cada momento.

Qué es Secure Boot (arranque seguro) y para qué sirve

El llamado arranque seguro o Secure Boot es una función de seguridad integrada en el firmware UEFI de los ordenadores actuales. Su misión es sencilla: evitar que, durante el encendido del equipo, se cargue software no autorizado que pueda ser malicioso, como ciertos tipos de malware, bootkits o rootkits que se incrustan en las fases más tempranas del arranque.

Para lograrlo, el sistema verifica las firmas digitales de todo lo que se ejecuta en el proceso de arranque: cargadores de arranque del sistema operativo, controladores críticos, etc. Solo permite que se ejecute aquello que está correctamente firmado y reconocido como confiable. Si algo no encaja con las claves configuradas, simplemente no se carga.

La mayoría de PCs relativamente modernos traen ya compatibilidad con esta función, porque forma parte del estándar UEFI. Sin embargo, una mala configuración del firmware (por ejemplo, tener activado el modo Legacy o CSM) puede hacer que Windows muestre que el arranque seguro no está disponible o no compatible, aunque el hardware sí lo soporte.

En la práctica, Secure Boot actúa como un sistema de control: decide qué software puede arrancar el PC y cuál no. Esto tiene ventajas claras en entornos profesionales o en equipos que están muy expuestos a amenazas, pero también supone ciertas limitaciones para quienes quieren usar sistemas operativos alternativos, herramientas de arranque desde USB o software que no dispone de las firmas adecuadas.

Conviene tener presente que, aunque el objetivo principal es la seguridad, la activación de esta función influye en cómo y qué puedes arrancar en tu ordenador. Por eso muchos usuarios avanzados valoran si la activan o la desactivan según el uso que le van a dar al equipo y el software que necesitan ejecutar.

Relación entre Secure Boot, UEFI, Legacy y estilos de partición

Para entender por qué a veces Windows 11 te dice que no puedes activar el arranque seguro, hay que tener claro cómo se relacionan el modo UEFI/Legacy de la BIOS y el tipo de particionado del disco donde está instalado el sistema.

Secure Boot solo funciona cuando el firmware del equipo está en modo UEFI puro. Si tu placa base está configurada en modo heredado (Legacy) o con el llamado CSM (Compatibility Support Module), el arranque seguro no se puede activar, aunque la opción exista en la BIOS. En muchos casos tendrás que deshabilitar CSM o el modo Legacy para poder usarlo.

Además, el disco donde está instalado Windows debe estar usando estilo de partición GPT (GUID Partition Table). Si el disco está en formato MBR (Master Boot Record), el sistema puede seguir funcionando en modo Legacy pero no será compatible con Secure Boot. Esto explica por qué, en equipos que han sido actualizados desde versiones antiguas de Windows, a menudo hay que convertir el disco de MBR a GPT.

En resumen, para que Secure Boot funcione correctamente se tienen que cumplir tres condiciones clave: placa base con UEFI, modo de arranque configurado como UEFI sin CSM y disco del sistema en GPT. Si falla alguna de estas piezas, Windows marcará el arranque seguro como no disponible o desactivado.

Por qué Windows 11 exige tener Secure Boot activado

Con la llegada de Windows 11, Microsoft añadió nuevos requisitos de seguridad para poder instalar el sistema de forma oficial. Entre ellos están TPM 2.0 y UEFI Secure Boot. El TPM (Trusted Platform Module) es un chip o módulo integrado que almacena claves de cifrado y permite proteger mejor el sistema frente a ataques que intentan manipular el arranque o el cifrado de los datos.

La función de Secure Boot, por su parte, garantiza que durante el encendido del PC no se cuela ningún cargador de arranque ni controlador modificado que pueda tomar el control antes de que el propio Windows y el antivirus entren en juego. Es una capa de seguridad muy básica pero muy importante, ya que si se compromete esa parte del sistema, el resto se vuelve mucho más vulnerable.

Si el equipo no tiene activado el arranque seguro o no es compatible, la instalación oficial de Windows 11 no continúa. Es cierto que existen métodos alternativos y versiones modificadas que saltan ese requisito, pero con ellas renuncias a esa capa de protección y te alejas de las condiciones recomendadas por Microsoft.

En equipos no demasiado antiguos, lo habitual es que la placa base sí soporte Secure Boot, pero que venga desactivado en BIOS/UEFI o que el Windows actual esté instalado en modo Legacy y en un disco con partición MBR. En esos casos, el sistema mostrará que la función no está activa o incluso no compatible hasta que se ajusten esos parámetros.

Cuando ni en la BIOS ni en la documentación de la placa aparece ninguna referencia a UEFI o Secure Boot, y el equipo tiene ya unos cuantos años encima, es bastante probable que no cumpla los requisitos de Windows 11 a nivel de seguridad. En esa situación, si quieres ajustarte a lo que pide Microsoft, tocaría plantearse la renovación del hardware.

Ventajas e inconvenientes de tener Secure Boot activado

La principal ventaja del arranque seguro es obvia: reduce las posibilidades de que malware muy profundo infecte el sistema. Los bootkits y rootkits que se cargan antes que el propio sistema operativo son especialmente peligrosos, porque pueden ocultarse del antivirus, modificar el comportamiento del equipo y robar información sin que apenas dejes rastro.

En entornos de trabajo sensibles, donde se manejan datos importantes o se conectan muchos dispositivos externos, Secure Boot ayuda a controlar qué se puede arrancar en las máquinas. Solo los sistemas y controladores firmados de forma adecuada podrán iniciarse, lo que limita la superficie de ataque y obliga a que cualquier software clave cumpla con ciertos estándares.

La parte menos agradable es que esta misma protección también impone limitaciones al usuario. Si quieres arrancar desde una memoria USB con una distribución de Linux sin soporte para Secure Boot, o usar herramientas de diagnóstico antiguas que no están firmadas, el firmware las bloqueará. En muchos casos habrá que desactivar temporalmente el arranque seguro o usar alternativas compatibles.

Además, algunos programas que trabajan a muy bajo nivel, como ciertos sistemas antitrampas en videojuegos multijugador que se ejecutan a nivel de kernel, pueden tener conflictos con las políticas de seguridad del arranque. La mayoría de títulos modernos lo llevan bien, pero hay casos puntuales en los que el juego no arranca o arroja errores si la combinación de sistema, drivers y Secure Boot no le encaja.

Por eso, muchas veces lo más sensato es mantener Secure Boot activado en equipos de uso general o profesional, y solo plantearse desactivarlo en máquinas destinadas a pruebas, sistemas alternativos o usos muy concretos donde sepas exactamente qué estás haciendo.

Comprobar si tu PC tiene Secure Boot y UEFI activados

Antes de tocar nada en la BIOS, es fundamental comprobar desde Windows cuál es el estado actual de tu equipo. Lo primero es ver si estás arrancando en modo UEFI o Legacy y el estado del arranque seguro, algo que puedes revisar fácilmente con la herramienta de información del sistema y nuestra guía para saber si Secure Boot está activado.

Pulsa la tecla de Windows + R para abrir el cuadro Ejecutar, escribe msinfo32 y confirma. Se abrirá la ventana de Información del sistema. En el panel izquierdo asegúrate de que está seleccionado “Resumen del sistema” y, en el panel derecho, busca los campos “Modo BIOS” y “Estado de arranque seguro”.

Si en “Modo BIOS” aparece UEFI y el estado de arranque seguro está en Activado, ya tienes Secure Boot en marcha y no necesitas cambiar nada. Si el modo BIOS es UEFI pero el arranque seguro figura como Desactivado, bastará con habilitarlo en la configuración del firmware. Si el modo BIOS es Legacy (o aparece CSM), será necesario cambiar a UEFI antes de poder usar esta función.

Existe también la posibilidad de que, en ese mismo cuadro, veas que el “Estado de arranque seguro” indica que no es compatible. En ese caso, o bien la placa base es demasiado antigua y realmente no soporta Secure Boot, o bien está configurada de tal forma que Windows no puede aprovecharlo. Ahí ya toca revisar con cuidado la documentación del fabricante.

Además del modo de arranque, conviene revisar cómo está particionado el disco donde está instalado Windows. Para ello, haz clic derecho en el botón de Inicio, selecciona Administración de discos, localiza el disco del sistema (normalmente el que contiene la unidad C:), haz clic derecho sobre él, entra en Propiedades y ve a la pestaña Volúmenes.

En ese apartado verás el campo “Estilo de partición”. Si dice Tabla de particiones GUID (GPT), todo está listo para usar UEFI y Secure Boot. Si aparece “MBR (registro de arranque maestro)”, aún podrás arrancar Windows, pero en modo heredado y sin acceso al arranque seguro, salvo que conviertas primero el disco a GPT.

Convertir un disco MBR a GPT con mbr2gpt

Si tu instalación actual está en un disco MBR y quieres activar el arranque seguro sin formatear el PC desde cero, Windows incluye una herramienta llamada mbr2gpt que permite convertir el disco de MBR a GPT. Es un proceso delicado, por lo que conviene hacer copia de seguridad de todo lo importante antes de intentarlo.

La idea básica es validar primero si el disco se puede convertir y, si todo está correcto, lanzar la conversión. Abre el símbolo del sistema como administrador (busca “cmd” en el menú Inicio, haz clic derecho y elige “Ejecutar como administrador”) y comprueba que en la ventana aparece símbolo elevado con permisos de administrador.

Escribe el comando mbr2gpt /validate /disk:0 /allowfullOS y pulsa Intro, ajustando el número de disco (disk:0, disk:1, etc.) al que aparezca en la ventana de Administración de discos dentro de la pestaña Volúmenes del disco del sistema. Si la validación indica que todo está listo, puedes ejecutar a continuación mbr2gpt /convert /disk:0 /allowfullOS para realizar la conversión.

Una vez completado el proceso, es posible que debas entrar en la BIOS/UEFI y cambiar el modo de arranque a UEFI para que Windows vuelva a iniciar correctamente desde el disco ya convertido a GPT. Aquí es crítico seguir las indicaciones del fabricante y no tocar otros parámetros que no conozcas.

Activar UEFI y Secure Boot desde Windows y desde la BIOS

El siguiente paso, una vez verificado el estilo de partición y el modo de arranque, es acceder a la configuración del firmware para habilitar el arranque seguro. Se puede hacer de dos maneras: reiniciando directamente al UEFI desde Windows o pulsando la tecla correspondiente al encender el PC (F2, Supr, F10, F12, Esc, según el fabricante).

Desde Windows 10 y Windows 11, la ruta más sencilla es ir a Configuración, entrar en el apartado de Sistema y después en Recuperación. En la sección de Inicio avanzado encontrarás un botón “Reiniciar ahora”. Antes de pulsarlo, guarda tu trabajo, porque el equipo reiniciará de inmediato a un menú especial.

Tras el reinicio, verás un menú de opciones azules. Ahí tienes que ir a Solucionar problemas, luego a Opciones avanzadas y por último a Configuración de firmware UEFI. Al seleccionar esta opción, el sistema te pedirá reiniciar otra vez y esta vez entrará directamente en la interfaz de la BIOS/UEFI del equipo.

En esa pantalla, el aspecto y la organización del menú dependen completamente del fabricante (Dell, HP, ASUS, Lenovo, MSI, etc.), pero casi siempre encontrarás una pestaña o sección llamada Boot, Security, Advanced o Authentication. Dentro de una de ellas debería aparecer la opción de Secure Boot o Arranque seguro.

En algunos equipos, antes de permitirte cambiar ese parámetro, la BIOS te obligará a establecer una contraseña de administrador. Normalmente se hace desde un apartado de seguridad (Security) o de configuración principal (Main). Introduces una contraseña, la confirmas, guardas y, al volver a la pestaña de arranque, ya podrás modificar el estado de Secure Boot.

Si ves una opción llamada CSM, Legacy o Modo heredado, tendrás que desactivarla para usar UEFI. A veces también hay un ajuste de “Tipo de sistema operativo” dentro de la configuración de arranque seguro, que conviene poner en “Windows UEFI mode” o similar, en lugar de “Other OS”, para asegurarte de que se aplican las claves adecuadas para Windows.

En el caso concreto de algunos fabricantes, como Dell, los pasos suelen seguir un patrón parecido: entrar al BIOS con la tecla F2 durante el logo de inicio, buscar la opción Boot List para cambiar de Legacy a UEFI, aplicar cambios, reiniciar al BIOS de nuevo y, a continuación, localizar la sección de Secure Boot y cambiarla de Disabled a Enabled. Tras guardar los cambios (generalmente con F10 o el menú “Save and Exit”), el ordenador reiniciará de vuelta a Windows.

Una recomendación importante es que, después de activar el arranque seguro y comprobar que todo funciona bien, borres la contraseña de administrador de la BIOS si no la necesitas. Lo habitual es repetir el camino a la sección de contraseñas, introducir la clave actual y dejar los campos de nueva contraseña en blanco para que se elimine.

TPM 2.0 y otros puntos a revisar antes de instalar Windows 11

Aunque el protagonista de este artículo es el arranque seguro, no se puede ignorar la otra gran pieza que exige Windows 11: TPM 2.0. Sin este módulo de seguridad habilitado, el sistema también mostrará errores de compatibilidad a la hora de actualizar o instalar.

Para comprobar si el TPM está presente y activo, pulsa Windows + R, escribe tpm.msc y confirma. Se abrirá la consola de administración del TPM. Fíjate en el campo de Estado: si aparece algo como “Listo para usar”, significa que el módulo está habilitado y funcionando. Si la herramienta no encuentra ningún TPM o indica que no está disponible, tendrás que buscar la opción correspondiente en la BIOS/UEFI.

En muchos equipos modernos, especialmente con procesadores AMD o Intel relativamente recientes, el TPM no es un chip separado sino una funcionalidad integrada a la que a veces se llama fTPM o PTT. Suele encontrarse en los menús de Security, Advanced o incluso en apartados relacionados con la CPU. Basta con activarlo, guardar cambios y reiniciar.

Otro detalle que conviene tener en cuenta es el uso de BitLocker u otras formas de cifrado. Si tu unidad del sistema está cifrada con BitLocker, cambiar parámetros del BIOS como el modo de arranque, el TPM o Secure Boot puede hacer que en el siguiente reinicio el sistema te pida la clave de recuperación. Asegúrate de tenerla a mano (en tu cuenta de Microsoft, en un USB, impresa, etc.) antes de empezar a tocar nada serio.

Si después de todos los cambios el equipo no arranca correctamente (pantalla en negro, errores de arranque o bucles de reinicio), es posible que tengas que volver a la BIOS y deshabilitar temporalmente el arranque seguro o revertir el modo de arranque mientras buscas una configuración compatible con tu hardware y tu instalación actual de Windows.

Secure Boot y videojuegos: antitrampas y compatibilidad

En los últimos años, algunos juegos multijugador competitivos han empezado a depender de tecnologías de seguridad cada vez más agresivas para luchar contra las trampas. Parte de esas medidas pasa por aprovechar características como el TPM y el arranque seguro para asegurarse de que el entorno del jugador no está manipulado.

Títulos de gran peso en el panorama online, como Valorant o League of Legends, ya fueron pioneros en integrar sistemas antitrampas a nivel de kernel. Más recientemente, otros juegos de gran presupuesto, como ciertas entregas de Battlefield (error Secure Boot) o Call of Duty, también han incluido requisitos relacionados con Secure Boot o TPM para poder ejecutar su multijugador.

Esto tiene una consecuencia directa para los usuarios con equipos más antiguos: si tu PC no puede activar el arranque seguro o no cumple con el TPM 2.0, es posible que no puedas jugar a estos títulos, incluso aunque el hardware sea suficientemente potente en términos de CPU y tarjeta gráfica.

En los ordenadores orientados al gaming que sí cumplen con los requisitos, lo habitual es que Secure Boot no cause problemas con los juegos más populares de plataformas como Steam. Sin embargo, pueden darse situaciones concretas donde algún juego o herramienta de terceros (especialmente software que intenta modificar el sistema a bajo nivel) entre en conflicto con estas protecciones y deje de funcionar o lo haga con errores.

Por eso, si eres jugador habitual de títulos competitivos y has leído que requieren TPM y arranque seguro, te interesa especialmente tener ambas funciones activadas y bien configuradas, ya que cada vez más desarrolladores están siguiendo esta misma línea para dificultar las trampas en sus servidores.

Secure Boot y distribuciones Linux: compatibilidad y alternativas

Secure Boot no se lleva igual de bien con todos los sistemas operativos. Aunque muchas distros modernas se han adaptado, sigue habiendo un buen número de distribuciones de Linux que no ofrecen soporte completo para el arranque seguro y simplemente no arrancan cuando esta función está habilitada en la BIOS.

Las distribuciones más populares, como Ubuntu, Fedora o Zorin OS, incluyen firmas y mecanismos compatibles con Secure Boot, así que se pueden instalar y arrancar sin tener que desactivarlo. En cambio, distros más pequeñas o especializadas a menudo no lo soportan, lo que obliga a deshabilitar la función antes de poder iniciar desde su medio de instalación.

Ir activando y desactivando Secure Boot según lo que quieras arrancar se vuelve algo engorroso y con cierto riesgo, sobre todo si no tienes experiencia trasteando la BIOS. Cada cambio implica reinicios, entradas al firmware y posibilidad de equivocarte de opción. Por eso, en muchos casos compensa buscar alternativas.

Si necesitas usar una distribución Linux que no es compatible con Secure Boot, una opción bastante cómoda es instalarla en una máquina virtual sobre Windows con herramientas como VirtualBox o VMWare (que ahora ofrece versiones gratuitas para uso doméstico). También puedes aprovechar Hyper-V en las ediciones Pro de Windows, si no te importa lidiar con una configuración algo más compleja.

Otra posibilidad, si tu prioridad absoluta es Linux y no Windows, es desactivar Secure Boot de forma permanente y revisar con cuidado, antes de comprar un PC nuevo, que la máquina no tenga restricciones especiales que impidan usar sistemas distintos a Windows. Muchos ordenadores preconfigurados vienen con el arranque seguro activo de fábrica y diseñados pensando en que solo se ejecutará Windows, lo que puede dar quebraderos de cabeza si quieres otra cosa.

En cualquier caso, si tu intención es combinar Windows 11 con alguna distro compatible, lo más cómodo es mantener Secure Boot activado y optar por una de las distribuciones que ya han adaptado su instalador y su gestor de arranque a este sistema de verificación.

¿Tiene sentido desactivar Secure Boot?

Desde un punto de vista puramente de seguridad, la respuesta es clara: no es buena idea desactivar el arranque seguro sin una razón de peso. En cuanto lo haces, abres la puerta a que cualquier cargador de arranque, firmado o no, pueda ejecutarse al encender el ordenador, lo que facilita el trabajo a cierto tipo de malware muy persistente.

Ahora bien, hay situaciones en las que sí tiene sentido hacerlo, sobre todo para usuarios avanzados o técnicos que necesitan arrancar sistemas o herramientas específicas que no cuentan con las firmas necesarias: live CDs de diagnóstico, distribuciones Linux poco habituales, utilidades de recuperación desde USB, etc.

En ese escenario, lo recomendable es tomar la costumbre de anotar todos los cambios que hagas en la BIOS, de forma que, si algo sale mal, puedas revertirlos al estado anterior sin adivinar. Conviene también minimizar el tiempo que pasas con Secure Boot desactivado, reactivándolo en cuanto termines las tareas que requerían deshabilitarlo.

Hay que tener en cuenta, además, que desbloquear esta función te da más control pero también más responsabilidad. Si te dejas, por ejemplo, un pendrive con un cargador de arranque poco fiable conectado al equipo, sin arranque seguro el sistema puede llegar a ejecutarlo sin filtros, con las consecuencias que eso puede tener si su contenido es malicioso.

Al final, cada usuario tiene que equilibrar comodidad, flexibilidad y seguridad. Para el uso típico de un ordenador doméstico o de oficina, lo más razonable es mantener Secure Boot activado, usar solo software de fuentes confiables y apoyarse en un buen cortafuegos y antivirus. Dejarlo desactivado permanentemente solo se justifica cuando sabes muy bien por qué lo necesitas así.

Todo lo que hemos visto demuestra que el arranque seguro es una pieza clave en la seguridad de Windows 11, pero también en cómo se relaciona tu ordenador con otros sistemas, juegos y herramientas de arranque. Entender cómo funciona, qué necesita (UEFI, GPT, TPM) y cómo se activa o desactiva en tu BIOS te permite tomar decisiones informadas sobre la protección y la flexibilidad de tu PC, evitando sustos y sacándole todo el partido sin renunciar a la seguridad más básica.