Cómo saber si tu PC tiene el arranque seguro activado

¿Cómo saber si tu PC tiene arranque seguro activado? Si usas Windows 10 o Windows 11 y te estás preguntando cómo saber si tu PC tiene el arranque seguro activado, no eres la única persona. Esta opción de la UEFI se ha vuelto casi obligatoria con la llegada de Windows 11, y además es una capa extra de protección frente a malware que intenta colarse nada más encender el ordenador.

En las próximas líneas vas a ver una guía muy completa para comprobar el estado del arranque seguro, entender qué significa cada mensaje y, si hace falta, cómo preparar el equipo (disco, UEFI, TPM…) para poder activarlo sin morir en el intento. Verás también qué hacer si tu BIOS sólo muestra opciones básicas, o si te aparece que el equipo no es compatible.

Qué es exactamente el arranque seguro y por qué importa

El llamado Secure Boot o arranque seguro es una función de seguridad integrada en el firmware UEFI de los equipos modernos. Su misión es sencilla: impedir que, al encender el PC, se cargue código que no haya sido firmado y validado por el propio firmware, como bootkits o malware que se engancha antes incluso de que arranque Windows.

Para lograrlo, el firmware mantiene un conjunto de claves criptográficas y firmas digitales. Durante el proceso de arranque comprueba el cargador de arranque, los controladores de arranque y otros componentes críticos, y solo permite que se ejecuten si sus firmas coinciden con las almacenadas. Si algo no cuadra, el firmware lo bloquea antes de que tenga oportunidad de hacer nada.

Este mecanismo está muy ligado al modo UEFI: no funciona en modo BIOS heredado (Legacy o CSM en la BIOS). Por eso muchos equipos que aún arrancan en Legacy no pueden activar Secure Boot sin antes migrar a UEFI y, si hace falta, convertir el disco del sistema al formato GPT.

En el caso concreto de Windows 11, Microsoft exige que el arranque seguro esté presente y se pueda activar, además de otros requisitos como TPM 2.0. Aunque la propia activación de Secure Boot no siempre es obligatoria para instalar el sistema, sí forma parte de las especificaciones oficiales de hardware compatible. Si vas a forzar Windows 11 en equipos no compatibles, tendrás que asumir ciertos riesgos y limitaciones.

Cómo comprobar si tu PC tiene el arranque seguro activado en Windows

La forma más rápida de comprobarlo desde Windows es usando la herramienta de Información del sistema (msinfo32), que da una vista bastante clara del modo de BIOS y del estado de Secure Boot.

Para abrirla, pulsa Tecla de Windows + R para lanzar el cuadro de Ejecutar. En la ventana que aparece, escribe msinfo32 y confirma con Intro. Se abrirá una ventana llamada “Información del sistema” con un resumen de la configuración del equipo.

En el panel de la izquierda asegúrate de que estás en “Resumen del sistema” y, en la parte derecha, busca las entradas “Modo BIOS” y “Estado de arranque seguro”. Puede que tengas que desplazarte un poco hacia abajo hasta encontrarlas, pero están siempre en ese bloque principal.

A partir de lo que veas ahí, hay varias posibilidades bastante claras:

• Modo BIOS = UEFI y Estado de arranque seguro = Activado: perfecto, tu PC ya está usando Secure Boot y no tienes que tocar nada más para esa función.
• Modo BIOS = UEFI y Estado de arranque seguro = Desactivado: tu equipo es compatible, pero el arranque seguro está apagado; podrás activarlo desde la configuración de la UEFI.
• Modo BIOS = Heredado, Legacy o CSM: el sistema está arrancando en modo BIOS clásico; en este caso, aunque tu placa soporte UEFI, no podrás usar el arranque seguro hasta que pases a UEFI y el disco del sistema esté en formato GPT.
• Estado de arranque seguro = No compatible: o bien la placa base es demasiado antigua, o bien está usando un firmware sin soporte de Secure Boot. Aquí, salvo actualización de placa o firmware muy específica, no hay forma de habilitarlo.

Con esta simple consulta ya sabes si el arranque seguro está activo, disponible pero apagado, o directamente no soportado. A partir de ahí, los siguientes pasos dependen del caso en el que estés.

Comprobar si tu disco está en MBR o GPT (requisito clave)

Antes de plantearte activar Secure Boot, es fundamental confirmar que el disco donde está instalado Windows utiliza el estilo de partición GPT. El arranque seguro está ligado al arranque UEFI y este, de cara a Windows, exige GPT en la unidad del sistema.

Para verlo rápidamente, haz clic derecho en el botón de Inicio de Windows y selecciona “Administración de discos”. En la ventana que se abre, localiza el disco donde se encuentra tu partición C: (normalmente será “Disco 0”, pero no lo des por hecho sin mirar).

Haz clic derecho sobre la etiqueta del disco (donde pone “Disco 0”, “Disco 1”… a la izquierda de las particiones) y elige “Propiedades”. Después ve a la pestaña “Volúmenes”. Ahí verás un campo llamado “Estilo de partición”, que indicará algo como:

• Tabla de particiones GUID (GPT): perfecto, el disco ya está preparado para arrancar en modo UEFI con Secure Boot.
• “Registro de arranque maestro (MBR)”: el disco sigue en formato clásico; si quieres usar arranque seguro con ese Windows, tendrás que convertirlo a GPT.

Si tu disco es MBR y no quieres reinstalar el sistema, Microsoft ofrece una herramienta oficial para convertirlo en el propio equipo: se llama mbr2gpt y viene incluida en Windows 10 y Windows 11. Eso sí, aunque el proceso suele ir bien, siempre existe un pequeño riesgo, por lo que es muy recomendable hacer una copia de seguridad completa de tus datos antes de tocar nada.

Convertir un disco MBR a GPT con mbr2gpt sin formatear

La utilidad mbr2gpt permite transformar un disco de sistema desde MBR a GPT sin perder los datos ni reinstalar Windows, siempre que se cumplan ciertos requisitos (número de particiones, espacio libre para las nuevas estructuras, etc.). El flujo básico es primero validar y luego convertir.

Para empezar, abre una ventana del Símbolo del sistema con permisos de administrador. Puedes hacerlo buscando “cmd” en el menú Inicio, haciendo clic derecho sobre “Símbolo del sistema” y eligiendo “Ejecutar como administrador”, o usando PowerShell con derechos de administrador si lo prefieres.

Antes de nada, conviene estar seguro de cuál es el número de disco que quieres convertir. Lo has podido ver ya en “Administración de discos”, pero es vital que coincida el valor que uses en el comando con el mostrado en la pestaña Volúmenes. Si tu disco del sistema es el Disco 0, esa será la referencia; si es el Disco 1, tendrás que cambiar el número en el comando.

En la consola administrativa, escribe primero el comando de validación:

mbr2gpt /validate /disk:0 /allowFullOS

Sustituye disk:0 por el número de disco correcto si no es el 0. Este paso no hace aún cambios en el disco: solo comprueba que la conversión es posible con la situación actual de particiones y espacio.

Si la validación finaliza correctamente y el programa indica que el disco es convertible, puedes lanzar el comando de conversión real:

mbr2gpt /convert /disk:0 /allowFullOS

De nuevo, asegúrate de que el número de disco coincide con el tuyo. La herramienta creará las estructuras de GPT necesarias y adaptará el arranque de Windows para que funcione en modo UEFI, sin necesidad de formatear ni reinstalar.

Una vez completado el proceso, lo habitual es que tengas que entrar en el firmware e indicar que el equipo arranque en modo UEFI (desactivando Legacy/CSM si aún estuviera activo). A partir de ahí, ya tendrás la base lista para poder activar el arranque seguro.

TPM 2.0 y su relación con el arranque seguro y Windows 11

Aunque TPM 2.0 no es estrictamente obligatorio para que Secure Boot funcione, sí es un requisito oficial de Windows 11 y suele ir de la mano con UEFI y arranque seguro en los equipos modernos. Merece la pena comprobar si tu equipo tiene un módulo TPM (físico o firmware) y si está activado.

Para verlo desde Windows, vuelve a usar Tecla de Windows + R para abrir el cuadro Ejecutar, escribe tpm.msc y presiona Intro. Se abrirá la consola de administración de TPM, donde verás un bloque de información general.

Fíjate en el apartado “Estado”. Si aparece algo como “El TPM está listo para usarse” o similar, significa que el módulo está habilitado y operativo. Si, por el contrario, te indica que no se encuentra un TPM compatible o que está deshabilitado, probablemente tengas que activarlo desde el firmware.

En la UEFI, suele figurar en menús de Seguridad, Avanzado o similares, bajo nombres como “TPM”, “fTPM” (TPM por firmware) o “PTT” (en el caso de Intel). Al activarlo y guardar cambios, Windows 10/11 lo detectará automáticamente al volver a arrancar y quedará listo para su uso.

Esta comprobación es especialmente importante si estás pensando en migrar a Windows 11, porque el sistema te pedirá tanto arranque seguro disponible como TPM 2.0 activo para considerarte un equipo oficialmente compatible.

Cómo entrar en la BIOS/UEFI de tu PC

Para activar el arranque seguro no basta con cambiar cosas desde Windows: es necesario acceder a la interfaz de firmware (BIOS/UEFI), ya sea con la tecla de siempre al encender el equipo o a través de las opciones avanzadas de arranque del propio sistema.

La forma clásica es reiniciar o encender el ordenador y, en cuanto aparezca el logo del fabricante, pulsar repetidamente la tecla asociada a la configuración de firmware. Según el modelo, puede ser Supr (Del), F2, F10, F12, Esc u otra similar. Muchos equipos lo indican unos segundos en pantalla (“Press F2 to enter Setup”, etc.).

Si te cuesta acertar con la tecla o el equipo arranca demasiado rápido, puedes entrar desde Windows. En Windows 10, ve a Configuración > Actualización y seguridad > Recuperación. Bajo el apartado “Inicio avanzado”, pulsa en “Reiniciar ahora”. En Windows 11, la ruta es Configuración > Windows Update > Opciones avanzadas > Recuperación y elegir también “Reiniciar ahora” en Inicio avanzado.

Tras el reinicio, aparecerá la pantalla azul de opciones. Elige Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI > Reiniciar. Tu PC se reiniciará de nuevo, pero esta vez directamente a la interfaz de la UEFI sin necesidad de andar machacando teclas.

Una vez dentro, el aspecto de la interfaz puede cambiar muchísimo según el fabricante: hay UEFI con modo gráfico avanzado, otras con menús en texto y algunas que incluso ofrecen un “modo sencillo” muy limitado en opciones.

Activar el arranque seguro en la UEFI paso a paso

Entrar a la UEFI es solo el primer paso. Lo realmente importante es localizar la sección donde se gestiona el arranque seguro, que normalmente se encuentra en los apartados de Boot (Arranque), Security (Seguridad), Advanced (Avanzado) o Authentication (Autenticación), dependiendo de la marca.

En muchos equipos modernos verás una pestaña llamada “Boot” o “Arranque”. Dentro, debería haber una opción llamada “Secure Boot” o “Arranque seguro”. En otros, la encontrarás bajo “Seguridad” o “Authentication”. Si no la ves a la primera, muévete con calma por los menús porque la nomenclatura varía bastante entre fabricantes como Dell, HP, ASUS, Lenovo, MSI, etc.

Hay un punto muy importante: en muchísimas UEFI, no podrás activar Secure Boot si el modo Legacy/CSM está habilitado. Suele aparecer un ajuste llamado “CSM”, “Legacy Support” o “Compatibility Support Module”. Para que el arranque seguro funcione, este ajuste debe estar desactivado, de forma que el firmware arranque exclusivamente en modo UEFI.

Otra opción que aparece con frecuencia en esa misma sección es el “Tipo de sistema operativo” o “OS Type”. En algunos equipos tendrás que ponerlo en “Windows UEFI mode”, “UEFI Windows” o similar, en lugar de “Other OS” u “Otro sistema operativo”. Esto indica al firmware que use las claves de arranque seguro preparadas para Windows.

Cuando tengas el sistema en modo UEFI puro, con el disco en GPT y el parámetro de OS en “Windows UEFI mode” (o equivalente), ya podrás cambiar el estado del arranque seguro de Deshabilitado a Habilitado. Normalmente es un desplegable o un interruptor “Enabled/Disabled”.

Algunos fabricantes añaden un menú específico de gestión de claves de Secure Boot. En ese caso, puede que te pida que instales las claves predeterminadas antes de permitirte activarlo. Si ves opciones como “Install default Secure Boot keys” o “Restore factory keys”, selecciónalas para cargar las claves por defecto y luego habilita el arranque seguro.

Cuando termines, navega hasta la sección de salida, que suele llamarse “Exit” o incluir una opción parecida a “Save & Exit”. Elige “Guardar cambios y salir” (en muchos equipos se hace con F10), confirma el mensaje y deja que el ordenador se reinicie normalmente.

Cómo comprobar que el arranque seguro ha quedado activado

Una vez que el sistema haya arrancado de nuevo en Windows, es buena idea confirmar que todo ha ido bien y que, efectivamente, el arranque seguro está activo. Para ello simplemente repite el proceso de msinfo32 que comentábamos al principio.

Abre de nuevo Ejecutar con Tecla de Windows + R, escribe msinfo32 y pulsa Intro. En “Resumen del sistema”, vuelve a localizar las entradas “Modo BIOS” y “Estado de arranque seguro”. Si todo ha funcionado según lo previsto, deberías ver ahora Modo BIOS = UEFI y Estado de arranque seguro = Activado.

En caso de que siga apareciendo “Desactivado”, revisa si quedó habilitado el CSM o si has cambiado correctamente el tipo de sistema operativo a modo UEFI Windows. También es posible que el firmware haya deshecho algunos cambios si detectó un problema de compatibilidad.

Si, después de activar Secure Boot, el equipo deja de arrancar o se queda bloqueado en la pantalla del fabricante, puede que tengas algún componente de arranque (como un gestor alternativo o una unidad externa) que no está firmado de forma válida. En ese escenario, entra de nuevo a la UEFI y desactiva temporalmente el arranque seguro para recuperar el funcionamiento normal mientras revisas qué elemento está provocando el conflicto.

Equipos con BIOS muy limitada y ausencia de pestaña de seguridad

Algunos usuarios, sobre todo con equipos de marca o muy antiguos, se encuentran con una BIOS/UEFI con muy pocas opciones. Por ejemplo, una interfaz que solo muestra menús como Processor, Memory Test, Storage Tests, System Board Test, Keyboard Test, Language y Exit, sin rastro de pestañas de Seguridad, Arranque o Avanzado.

En estos casos, es bastante probable que el fabricante haya optado por un firmware de diagnóstico simplificado, pensado para pruebas de hardware y no para ofrecer todas las opciones de configuración al usuario. Eso quiere decir que funciones como Secure Boot pueden estar escondidas, bloqueadas o directamente no estar disponibles.

Lo primero que conviene hacer es comprobar, en la web oficial del fabricante de tu equipo o placa base, si existe una actualización de BIOS/UEFI más completa que incluya opciones de seguridad y de arranque. Cada modelo es un mundo, y a veces una actualización mayor de firmware añade el soporte de arranque seguro que antes no estaba.

Si aun así sigues sin ver ninguna referencia a UEFI, Secure Boot, CSM o modo de arranque, es posible que tu equipo se limite a un modo clásico y no ofrezca arranque seguro como tal. En ese contexto, si msinfo32 muestra “Estado de arranque seguro: No compatible”, no habrá mucho margen para habilitarlo, más allá de plantear un cambio de placa base o de ordenador.

Cuando el PC sí admite UEFI y Secure Boot pero el fabricante oculta la configuración avanzada, a veces existe una combinación de teclas o ajustes específicos para entrar en un “modo avanzado” del firmware. Estas cosas suelen documentarse (si lo hacen) en el manual del equipo o en la sección de soporte, así que merece la pena revisar la documentación oficial de tu modelo concreto.

BitLocker, cambios de BIOS y otras precauciones importantes

Si utilizas BitLocker para cifrar el disco (algo frecuente en portátiles profesionales y en equipos con Windows Pro o Enterprise), debes tener en cuenta que cualquier cambio relevante en la configuración de arranque puede hacer que el sistema te pida la clave de recuperación al reiniciar.

Esto incluye activar o desactivar el arranque seguro, cambiar de modo Legacy a UEFI, tocar parámetros de TPM o modificar el orden de arranque de ciertas formas. Desde el punto de vista de BitLocker, son cambios que pueden alterar la integridad medida del arranque y, por tanto, hacen que el sistema desconfíe hasta que confirmes que todo es intencionado.

Antes de entrar a la UEFI a hacer cambios, asegúrate de tener a mano tu clave de recuperación de BitLocker. Puedes comprobarla (y guardarla en tu cuenta de Microsoft, impresora, archivo, etc.) desde el panel de control de BitLocker en Windows. Perder esa clave puede complicarte mucho las cosas si el sistema decide bloquear el acceso al disco.

Otra buena práctica básica, especialmente si vas a convertir el disco con mbr2gpt o a tocar varias opciones seguidas en la UEFI, es hacer una copia de seguridad reciente de tus datos importantes. Aunque los procesos estén muy probados, un corte de corriente o un problema inesperado en pleno cambio de tabla de particiones puede dejar el sistema inarrancable.

Por último, cuando el fabricante ofrezca una documentación específica para tu modelo sobre cómo habilitar Secure Boot, TPM o modo UEFI, conviene seguirla al pie de la letra. Cada BIOS/UEFI tiene sus particularidades, y lo que en una marca se llama “Windows UEFI mode” en otra puede tener un nombre completamente distinto.

Dominar todo lo relacionado con el arranque seguro pasa por entender bien la relación entre modo UEFI, estilo de partición GPT, TPM y configuración de BIOS. Una vez localizas en Información del sistema si el Secure Boot está activado, desactivado o no soportado, el resto del trabajo consiste en preparar el disco (si aún está en MBR), ajustar el firmware para que arranque solo en UEFI, habilitar TPM cuando proceda y activar la opción de arranque seguro cargando las claves por defecto. Con estas piezas bien encajadas, no solo te aseguras de cumplir los requisitos de Windows 11, sino que añades una capa clave de protección frente a amenazas que intentan colarse justo en el momento más delicado: cuando tu PC se está encendiendo.