Arranque seguro (Secure Boot)
¿Qué es Arranque seguro (Secure Boot)?
Arranque seguro (Secure Boot)Funcion UEFI que verifica la firma criptografica de cada componente del arranque, rechazando ejecutar bootloaders, kernels o drivers que no esten firmados por una autoridad confiable.
Secure Boot es una funcion de la especificacion UEFI que establece una cadena de confianza desde el firmware de la plataforma hasta el sistema operativo. En cada paso, el firmware verifica la firma del componente siguiente (bootloader, kernel, drivers) contra claves guardadas en variables protegidas: PK, KEK, db y dbx. Si falta la firma o esta revocada, el arranque se detiene. Defiende frente a malware previo al SO, como bootkits o rootkits persistentes (LoJax, BlackLotus). Es requisito en Windows 11, lo soportan las grandes distribuciones Linux mediante shim y se complementa con Measured Boot via PCR del TPM y servicios como Intel BootGuard.
● Ejemplos
- 01
Microsoft revoco binarios de arranque vulnerables mediante el dbx UEFI tras BlackLotus.
- 02
Una distribucion Linux firma GRUB con shim bajo la UEFI CA de Microsoft para arrancar en firmware OEM.
● Preguntas frecuentes
¿Qué es Arranque seguro (Secure Boot)?
Funcion UEFI que verifica la firma criptografica de cada componente del arranque, rechazando ejecutar bootloaders, kernels o drivers que no esten firmados por una autoridad confiable. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Arranque seguro (Secure Boot)?
Funcion UEFI que verifica la firma criptografica de cada componente del arranque, rechazando ejecutar bootloaders, kernels o drivers que no esten firmados por una autoridad confiable.
¿Cómo funciona Arranque seguro (Secure Boot)?
Secure Boot es una funcion de la especificacion UEFI que establece una cadena de confianza desde el firmware de la plataforma hasta el sistema operativo. En cada paso, el firmware verifica la firma del componente siguiente (bootloader, kernel, drivers) contra claves guardadas en variables protegidas: PK, KEK, db y dbx. Si falta la firma o esta revocada, el arranque se detiene. Defiende frente a malware previo al SO, como bootkits o rootkits persistentes (LoJax, BlackLotus). Es requisito en Windows 11, lo soportan las grandes distribuciones Linux mediante shim y se complementa con Measured Boot via PCR del TPM y servicios como Intel BootGuard.
¿Cómo defenderse de Arranque seguro (Secure Boot)?
Las defensas contra Arranque seguro (Secure Boot) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- cryptography№ 1178
Modulo de plataforma confiable (TPM)
Chip de seguridad estandar soldado a la placa o implementado en firmware que aporta almacenamiento de claves anclado en hardware, atestiguacion y arranque medido.
- malware№ 117
Bootkit
Malware que infecta el proceso de arranque —MBR, VBR o UEFI— para cargarse antes que el sistema operativo y obtener control privilegiado persistente.
- malware№ 949
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.
- cryptography№ 462
Token de hardware
Dispositivo fisico que almacena secretos criptograficos y ejecuta operaciones de autenticacion, usado como factor de posesion en MFA.
- cryptography№ 321
Firma digital
Mecanismo criptográfico de clave pública que demuestra la autenticidad, integridad y no repudio de un mensaje o documento.
- cryptography№ 879
Criptografía de clave pública
Rama de la criptografía que usa pares de claves pública y privada para permitir cifrado, intercambio de claves, firmas digitales y autenticación sin secretos previos.
● Véase también
- № 445Ataque por glitch
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460Atestacion hardware