- Arranque seguro protege el inicio verificando firmas válidas y bloqueando software no autorizado.
- Para activarlo, el equipo debe usar UEFI y particionado GPT; desactiva CSM si está habilitado.
- Si aparece «No activo», restaura las claves de Secure Boot a valores de fábrica en la UEFI.
El Arranque seguro es una pieza clave de la protección del sistema: bloquea que se cargue software no autorizado o malicioso durante el encendido. Está integrado en el firmware moderno (UEFI) y, aunque la mayoría de equipos lo soportan, a veces aparece como desactivado o no compatible por ajustes de la BIOS/UEFI o por el modo de arranque. Si te estás preparando para Windows 11 o simplemente quieres reforzar tu PC, te interesa tenerlo activo.
En esta guía encontrarás una explicación clara de qué es, cómo comprobar si lo tienes operativo y, si hace falta, cómo activarlo paso a paso desde la configuración de Windows y desde la UEFI. También verás qué hacer si aparece como «No activo», cómo restaurar las claves, qué precauciones tomar si usas BitLocker, y algunos apuntes para equipos de marcas populares (Dell, Lenovo, HP, ASUS, MSI, etc.).
Qué es Arranque seguro y por qué conviene tenerlo activado
Arranque seguro (Secure Boot) es una función de la UEFI que valida, mediante firmas criptográficas, el software que se carga antes del sistema operativo. Solo permite iniciar componentes firmados por fabricantes de confianza (como Microsoft) y controladores validados. Así se evita que rootkits u otros códigos maliciosos se cuelen en el arranque, un momento especialmente crítico.
Si necesitas ejecutar sistemas operativos o herramientas que no son compatibles (ciertas utilidades de recuperación, entornos antiguos, etc.), puedes desactivarlo temporalmente. Ojo con esto: al deshabilitarlo reduces notablemente la seguridad de tu equipo, así que si no tienes un motivo claro, lo recomendable es mantenerlo activo para ganar estabilidad y confianza en el inicio.
A efectos de requisitos, Windows 11 exige que la máquina sea compatible con UEFI y Arranque seguro. No es estrictamente obligatorio para arrancar Windows 10, pero tenerlo habilitado aporta un plus de protección y es un requisito para la actualización a Windows 11 en equipos compatibles.
Cómo comprobar si tu PC tiene Arranque seguro activado
Windows ofrece una forma directa de revisarlo. Pulsa Windows + R, escribe msinfo32 y confirma. En «Información del sistema», localiza «Modo BIOS» y «Estado de arranque seguro». Si el Modo BIOS es UEFI y el estado aparece como Activado, ya estás al día. Si el Modo BIOS es Legacy (o CSM), primero tendrás que cambiar a UEFI y, muy probablemente, convertir el disco a GPT.
En ese mismo panel también puede aparecer «No compatible». En tal caso, la placa base o su firmware no soportan Arranque seguro, o hay algún ajuste que lo impide. En la práctica, en equipos modernos suele bastar con desactivar CSM y usar UEFI con particionado GPT para que el estado cambie a compatible.
Otra pista útil la dan algunas soluciones de seguridad. Si ves en herramientas como Avast One el aviso «Su PC es vulnerable al malware en el arranque. Arranque seguro está desactivado», el remedio pasa por entrar en la UEFI y encenderlo en la sección de Seguridad o Arranque.
Requisitos previos y comprobaciones clave
Antes de tocar nada te conviene revisar tres aspectos: modo de arranque (UEFI), estilo de partición (GPT) y cifrado (BitLocker). Si todo encaja, el proceso será rápido y sin sustos.
Modo de arranque: si en msinfo32 ves «Modo BIOS: UEFI», perfecto. Si muestra Legacy/CSM, tendrás que cambiarlo en la UEFI. Normalmente este cambio requiere que el disco del sistema esté en GPT, de lo contrario el equipo no arrancará tras el cambio.
Estilo de partición del disco: abre «Administración de discos» (Windows + X > Administración de discos), haz clic derecho en el disco del sistema (la unidad donde está Windows), entra en Propiedades > Volúmenes y mira «Estilo de partición». Debe ser «Tabla de particiones GUID (GPT)». Si pone «MBR», podrás convertirlo con la herramienta MBR2GPT que viene con Windows.
BitLocker y cifrado de dispositivo: si usas BitLocker o Cifrado de dispositivo, cambiar parámetros de la UEFI (como activar Secure Boot) puede solicitar la clave de recuperación al reiniciar. Es imprescindible que la tengas localizada antes de proceder para evitar quedarte sin acceso a tus datos.
TPM 2.0 (para Windows 11): no es un requisito del Arranque seguro en sí, pero sí de Windows 11. Ejecuta Windows + R, escribe tpm.msc y verifica el «Estado». Si indica «Listo para usar», el TPM está habilitado; si no, tendrás que activarlo en la UEFI (busca «TPM», «PTT» o «fTPM» en Seguridad o Avanzado).
Convertir un disco MBR a GPT con MBR2GPT
En equipos que aún arrancan en modo heredado, verás que el disco del sistema está en MBR. La utilidad MBR2GPT permite convertirlo a GPT sin reinstalar, minimizando riesgos (aunque siempre conviene tener copia de seguridad).
Abre Símbolo del sistema como administrador y ejecuta una validación previa. Usa el número de disco que corresponda en tu equipo (en «Administración de discos», la unidad del sistema suele ser el disco 0):
Comando de validación:mbr2gpt /validate /disk:0 /allowFullOS
Si la validación es correcta, lanza la conversión: Windows ajustará las particiones y preparará el arranque UEFI.
Comando de conversión:mbr2gpt /convert /disk:0 /allowFullOS
Tras convertir, entra en la UEFI y cambia el modo de arranque a UEFI (desactiva Legacy/CSM). Sin este cambio, el equipo puede no iniciar. Una vez en UEFI puro, ya podrás activar Arranque seguro en Windows 10.
Entrar en la UEFI/BIOS desde Windows o durante el arranque
Hay dos formas habituales de acceder. La directa es reiniciar y pulsar la tecla correspondiente repetidamente (varía por fabricante: Supr, F2, F10, F12 o Esc). La alternativa guiada desde Windows es útil si te cuesta acertar con la tecla.
En Windows 10: ve a Configuración > Actualización y seguridad > Recuperación. En «Inicio avanzado», pulsa «Reiniciar ahora». Luego entra en Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI > Reiniciar. El equipo arrancará directamente en la pantalla de la UEFI.
En Windows 11: Configuración > Windows Update > Opciones avanzadas > Recuperación. En «Inicio avanzado», elige «Reiniciar ahora» y, como antes, selecciona Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI.
En equipos ASUS, cuando están apagados del todo, puedes mantener F2 y pulsar el botón de encendido para entrar a la UEFI; en sobremesa ASUS antiguos, a veces se usa Supr. En consolas portátiles ASUS, se mantiene Volumen – al encender para alcanzar la configuración.
Activar Arranque seguro paso a paso en la UEFI/BIOS
La ubicación exacta cambia según la placa, pero la lógica es similar: desactivar CSM, asegurarse de que el tipo de sistema operativo es Windows UEFI y habilitar Secure Boot. Después, guardar cambios y reiniciar.
Busca en las pestañas Seguridad, Arranque, Avanzado o Autenticación. En muchos equipos verás una opción llamada «Arranque seguro» o «Secure Boot». En otros, se gestiona a través de «Tipo de SO» o «OS Type».
– Desactiva CSM/Legacy: si aparece «CSM» o «Legacy», ponlo en Disabled. Secure Boot requiere arranque UEFI puro.
– Tipo de sistema operativo: si existe «Windows UEFI mode» frente a «Otro SO», elige el primero para encender Secure Boot automáticamente en ciertos firmwares.
– Arranque seguro: coloca la opción en Enabled/Activado. En algunas interfaces, la línea «Estado de Arranque seguro» no se puede cambiar manualmente; se actualiza cuando habilitas su control y guardas la configuración.
Guarda cambios y sal con F10 (o el menú «Guardar y salir»). El equipo reiniciará y, al volver a Windows, puedes confirmar en msinfo32 que ahora el «Estado de arranque seguro» aparece como Activado. Si no, revisa las claves de Secure Boot, como explicamos a continuación.
Gestión de claves de Arranque seguro y solución cuando aparece «No activo»
Si el estado sigue «No activo» o no te deja habilitarlo, suele ayudar restaurar las claves de fábrica. El menú puede llamarse «Key Management», «Secure Boot Keys» o similar. La idea es borrar las claves actuales y reinstalar las predeterminadas.
En portátiles, AIO o consolas ASUS con interfaz UEFI clásica:
1) En Secure Boot, activa Secure Boot Control en Enabled y entra en Key Management.
2) Ejecuta Reset To Setup Mode para limpiar las bases de datos de claves.
3) A continuación, elige Restore Factory Keys y confirma con Yes.
4) Guarda cambios con F10. Tras el reinicio, el estado debería actualizarse.
En equipos ASUS con interfaz «MyASUS in UEFI» el flujo es muy parecido: habilita Secure Boot Control, abre «Key Management», pulsa «Reset To Setup Mode», después «Restore Factory Keys» y guarda. El estado se ajusta al reiniciar.
En sobremesa ASUS, si ves «Secure Boot Mode», cambia a Custom para acceder a la gestión de claves. Luego selecciona Clear Secure Boot Keys, confirma y, a continuación, «Install Default Secure Boot Keys». Guarda la configuración con F10. Esto reinstala las claves por defecto y permite que Secure Boot quede activo.
Ten presente dos matices frecuentes:
– En muchos firmwares, el «Estado de Arranque seguro» (Activo/No activo) no es editable a mano; depende de si el control está habilitado y de que existan claves.
– En ciertos modelos, el estado cambia entre «Usuario» y «Configuración» según haya o no claves de Secure Boot cargadas. Con claves presentes, el estado de seguridad queda operativo.
Guía rápida para equipos ASUS: UEFI estándar y MyASUS
Para quienes usen ASUS, aquí va un destilado práctico. Entrar en modo avanzado con F7, ir a Seguridad/Arranque y activar Secure Boot es la línea general, con pequeños cambios de nombre según versión.
Interfaz UEFI clásica (portátiles y sobremesa):
– Pulsa F7 para acceder al «Modo avanzado».
– Entra en Seguridad y luego en Arranque seguro.
– Ajusta «Secure Boot Control» a Enabled (o «Tipo de SO» en «Modo UEFI de Windows» en algunos sobremesa).
– Guarda con F10 y confirma en Aceptar.
Interfaz «MyASUS in UEFI» (portátiles):
– Entra a «Configuración avanzada» con F7.
– Abre Seguridad > Arranque seguro.
– Pon «Secure Boot Control» en Enabled.
– Guarda con F10 y confirma. Si persistiera como No activo, aplica el procedimiento de «Key Management» indicado arriba.
Nota adicional para sobremesa ASUS: algunos firmwares gestionan Secure Boot mediante «Tipo de SO». Selecciona «Windows UEFI Mode» para que quede activo; «Other OS» lo desactiva. Si usas herramientas no firmadas, es posible que necesites esa opción temporalmente, pero recuerda revertirla para recuperar la protección.
Si usas una ASUS PRIME A320M-K (u otras placas AM4) y PC Health Check insiste en que falta Arranque seguro, revisa estos puntos:
– En msinfo32 debe figurar «Modo BIOS: UEFI».
– CSM desactivado.
– «Windows UEFI mode» seleccionado en «Tipo de SO».
– Claves restauradas a valores de fábrica.
– Verifica en msinfo32 que «Estado de arranque seguro» cambia a Activado tras guardar y reiniciar.
Puntos a tener en cuenta con BitLocker y soluciones de seguridad
Si tu disco está cifrado con BitLocker o Cifrado de dispositivo, ten a mano la clave de recuperación antes de tocar la UEFI. Tras modificar parámetros como Secure Boot o TPM, Windows puede pedirla en el primer arranque. Puedes localizarla en tu cuenta Microsoft o donde la guardases al activarla.
Antivirus y suites de seguridad pueden mostrar avisos si detectan Secure Boot desactivado. En Avast One, por ejemplo, aparece el mensaje de «Su PC es vulnerable al malware en el arranque». La solución no pasa por el antivirus en sí, sino por entrar a la UEFI y activar el Arranque seguro desde las opciones de Seguridad o Arranque, tal y como has visto.
Dudas frecuentes y errores habituales
¿Puedo activar Secure Boot sin perder datos? Sí. Habilitar Arranque seguro no borra tu información. Donde hay que ir con cuidado es al convertir MBR a GPT (usa MBR2GPT y copia de seguridad previa) y al cambiar a UEFI si el disco no está en GPT.
He habilitado Secure Boot, pero Windows no arranca. Probablemente el disco del sistema sigue en MBR o CSM está activo. Desactiva CSM, convierte el disco a GPT con MBR2GPT y arranca en UEFI. Si usas BitLocker, puede pedir la clave de recuperación.
En la UEFI veo «Secure Boot State» pero no puedo cambiarlo. Es normal: ese indicador refleja el estado, no es un ajuste. Lo que debes cambiar es «Secure Boot Control» o «OS Type». Tras guardar y reiniciar, el estado se actualizará.
¿Dónde están las opciones exactamente? Cambian según fabricante y versión de firmware. Consulta el soporte de tu marca (Dell, Lenovo, HP, ASUS, MSI, etc.) si la nomenclatura no coincide. En ASUS, las rutas más comunes son Seguridad > Arranque seguro o Arranque > Arranque seguro.
¿Y si necesito usar un sistema no firmado? Puedes desactivar temporalmente Secure Boot. Asume el riesgo y vuelve a activarlo cuanto antes. En algunos sobremesa, selecciona «Other OS» en «Tipo de SO» para desactivarlo y «Windows UEFI mode» para activarlo de nuevo.
TPM 2.0 no aparece o no está listo. Busca en la UEFI «TPM», «PTT» (Intel) o «fTPM» (AMD) en Seguridad o Avanzado y habilítalo. Para Windows 11, TPM 2.0 y Arranque seguro deben estar operativos.
Tras seguir la guía de vídeo, PC Health Check sigue quejándose. A veces falta restaurar las claves o desactivar CSM por completo. Repite msinfo32 y confirma «Modo BIOS: UEFI» y «Estado de arranque seguro: Activado». Si sigue fallando, revisa Key Management e instala las claves por defecto.
Con UEFI activo, disco en GPT y claves de Secure Boot instaladas, habilitar Arranque seguro es cuestión de un par de cambios en la UEFI. La protección adicional que ofrece merece la pena, sobre todo si vas a migrar a Windows 11 o manejas información sensible.
