Una clave de Microsoft expira… y eso hará que millones de equipos se queden sin poder arrancar Linux a partir de septiembre

A partir del 11 de septiembre de 2025, una aposento fundamental del ecosistema de 'inicio seguro' (Secure Boot) dejará de funcionar como se aplazamiento: la esencia de firma utilizada por Microsoft para validar el método de inicio de muchas distribuciones Linux caducará. Este cambio podría desencadenar el caos entre los usuarios de Linux, especialmente aquellos que utilizan el inicio seguro en sus dispositivos.

Pero, ¿por qué este problema de Microsoft afecta a poco tan esencial para Linux? Y lo más importante: ¿qué alternativas existen?

¿Qué es Secure Boot?

'Secure Boot' es una función de seguridad integrada en la interfaz de firmware moderna conocida como UEFI (Unified Desplegable Firmware Interface), la sucesora de las clásicas BIOS. Su propósito es avalar que el sistema eficaz inicio sólo con software firmado y acreditado por el fabricante del dispositivo.

En otras palabras, evita que malware o sistemas operativos no verificados puedan ejecutarse al iniciar el equipo.

Para funcionar, Secure Boot requiere un conjunto de claves criptográficas que se graban en la memoria no volátil del firmware durante la fabricación. Una vez instalado, el firmware se "bloquea", permitiendo cambios solo con actualizaciones firmadas o intervención directa del afortunado.

¿Dónde entra Microsoft?

Aunque Secure Boot no impide instalar sistemas que no sean Windows, la verdad es que la mayoría de los equipos vienen con Windows preinstalado y con Secure Boot activado. Esto complica el uso de sistemas operativos alternativos (como Linux), especialmente si el afortunado no es técnico o desconoce cómo desactivar esta función.

Para evitar tener que desactivar Secure Boot, algunas distribuciones Linux han optado por una opción intermedia: usar un componente llamado shim, una especie de intermediario firmado con una esencia de Microsoft. De esta forma, el shim puede originarse otros componentes de Linux sin menester de desactivar la seguridad del sistema.

El problema de la esencia de firma

Pero Microsoft dejará de usar la esencia flagrante para firmar el shim a partir de septiembre de 2025. Aunque ya existe una esencia de reemplazo (lo lleva haciendo desde 2023), lo cierto es que muchos dispositivos no han recibido actualizaciones de firmware que la incorporen (y la mayoría de ellos no lo harán nunca).

Esto presenta un dilema:

• ¿Los fabricantes de hardware actualizarán el firmware de dispositivos antiguos solo para que un pequeño porcentaje de usuarios pueda seguir utilizando Secure Boot con Linux?
• ¿Podrán los usuarios refrescar manualmente las bases de datos de claves para aceptar la nueva firma?

Ambas soluciones son técnicamente posibles, pero poco probables en la ejercicio. Algunas requieren que el fabricante actúe; otras, conocimientos técnicos poco comunes en usuarios promedio.

Consecuencias prácticas

Para muchos usuarios, especialmente los que usan distribuciones populares como Ubuntu, Fedora o Debian, esto podría significar:

• No poder instalar nuevas versiones de su sistema sin desactivar Secure Boot.
• No poder originarse desde medios USB firmados con la nueva esencia.
• En casos extremos, quedarse bloqueados tras una puesta al día del sistema eficaz.

¿Qué opciones tienen los usuarios y desarrolladores?

1. Desactivar Secure Boot: una opción rápida, pero que elimina la (supuesta) protección que ofrece.
2. Refrescar manualmente las claves UEFI: técnicamente posible, pero complejos para la mayoría de los usuarios.
3. Esperar actualizaciones de firmware de los fabricantes: incierto, especialmente en equipos antiguos.
4. Adoptar soluciones propias: algunas distribuciones pueden desarrollar mecanismos de firma alternativos, pero eso fragmentaría aún más el ecosistema.

Así que, ¿vale la pena Secure Boot?

Aunque en teoría restablecimiento la seguridad al alertar la ejecución de software pillo durante el inicio, Secure Boot no ha sido infalible. Vulnerabilidades como BootHole o BlackLotus han demostrado que es posible eludir sus protecciones.

Por otra parte, algunos usuarios lo han desactivado para instalar Windows 11 en hardware no compatible. Esto plantea la pregunta de si Secure Boot, tal como existe hoy, está cumpliendo su promesa, o si simplemente se ha convertido en una barrera incómoda para quienes desean más control sobre su sistema.

Linux, el afectado

Con el inminente fin del soporte a Windows 10, muchos miran a Linux como una alternativa. Pero si instalarlo se vuelve más complicado por barreras como Secure Boot, esa transición podría frustrarse antiguamente de comenzar.

Y es que la expiración de la esencia de firma de Microsoft no constituye sólo un problema técnico; es una llamamiento de atención sobre la dependencia que incluso sistemas alternativos como Linux tienen de los grandes actores del ecosistema tecnológico.

Vía | Tom's Hardware

Imagen | Marcos Merino mediante IA

En Xataka | UEFI y BIOS: ¿cuáles son las diferencias?