Si utilizas Linux, es posible que te enfrentes a un error de arranque en Linux con Secure Boot, como el conocido “Invalid signature detected”, al instalar tu distribución preferida, especialmente si tu ordenador tiene esta función activada.

La función Secure Boot está diseñada para añadir una capa adicional de protección a tu sistema, impidiendo la ejecución de software no verificado durante el proceso de arranque. Este mecanismo, en principio, es beneficioso.

Sin embargo, no siempre resulta útil. Para los usuarios de Linux, Secure Boot puede generar más problemas que beneficios. En el pasado han habido casos puntuales de incompatibilidades con shim en versiones antiguas de algunas distribuciones (por ejemplo, problemas resueltos hace años en Ubuntu alrededor de 2021), que obligaron a usuarios a aplicar parches manuales o usar versiones anteriores.

Hoy en día las distribuciones principales manejan mucho mejor estos temas, pero hay un cambio clave ocurriendo justo ahora en 2026: el certificado raíz que Microsoft usa desde 2011 para firmar los archivos shim (Microsoft Corporation UEFI CA 2011) caduca el 27 de junio de 2026.

Desde finales de 2025 ya se firman nuevos shim con los certificados Microsoft UEFI CA 2023 (para bootloaders como shim) y Microsoft Option ROM UEFI CA 2023 (para componentes de hardware). Los sistemas ya instalados y actualizados normalmente siguen funcionando sin problema (las firmas antiguas siguen válidas indefinidamente gracias al timestamping y la cadena de confianza en firmware), pero si compras hardware muy nuevo (que solo trae los certificados 2023 de fábrica) o necesitas actualizar shim por parches de seguridad después de junio 2026, vas a necesitar una ISO o paquete reciente que ya use el nuevo certificado.

Las grandes distros como Ubuntu, Fedora, Debian, Red Hat y derivados ya están en pleno proceso de transición, lanzando shim dual-signed o completamente migrados al 2023 para evitar cualquier interrupción.

Pero, ¿qué es exactamente Secure Boot y para qué se necesitan los archivos Shim? En este artículo, analizaré en detalle la relación entre Secure Boot y Linux, qué es en términos técnicos, y qué hacer si surgen problemas.

¿Qué es Secure Boot?

Secure Boot es un estándar de seguridad que garantiza que solo se ejecute software de confianza durante el arranque del sistema. Actúa como un guardián que verifica la autenticidad de cada componente de software antes de que se inicie.

Este estándar fue desarrollado para proteger tu ordenador contra software malicioso, como los bootkits, que pueden ejecutarse al inicio del sistema, incluso antes de que el sistema operativo se haya cargado por completo.

Es parte de la especificación Unified Extensible Firmware Interface (UEFI), la tecnología que ha reemplazado al BIOS. UEFI es el método moderno para iniciar un ordenador y verificar que todo funcione correctamente, como se detalla en las especificaciones oficiales del UEFI Forum.

Cuando Secure Boot está habilitado, tu ordenador solo cargará software que posea una firma digital específica. Si un programa sin la firma correcta intenta cargarse, su ejecución será bloqueada.

¿Cómo funciona Secure Boot?

El mecanismo de cómo funciona Secure Boot utiliza una cadena de confianza basada en varios tipos de claves criptográficas para verificar cada etapa del proceso de arranque. A continuación, presento una descripción simplificada de estas claves:

• Platform Key (PK): Es la clave maestra, generalmente almacenada por el fabricante del dispositivo (Dell, HP, etc.).
• Key Exchange Key (KEK): Esta clave confirma la confianza en otras claves, actuando como un puente entre la plataforma y los cargadores de arranque del software.
• Allowed Database (DB): Contiene una lista de firmas autorizadas para el software que tiene permitido ejecutarse.
• Forbidden Database (DBX): Contiene una lista de firmas de software conocido como no seguro. Si algo en esta lista intenta ejecutarse, Secure Boot lo bloqueará.

Durante el arranque, Secure Boot verifica cada programa que se ejecuta, comparando su firma con las claves y las bases de datos. Solo se permitirá la ejecución del software firmado con las claves correctas.

Qué es Shim en Linux y Para Qué Sirve

Shim en Linux es un pequeño cargador de arranque que actúa como intermediario entre un firmware UEFI con Secure Boot activado y el gestor de arranque principal del sistema, como GRUB. Su función es ser firmado por una autoridad reconocida (como Microsoft) para poder ejecutarse, y luego verificar y cargar el bootloader de Linux, completando la cadena de confianza.

Ahora, considera el escenario de intentar arrancar Linux en un ordenador con Secure Boot habilitado. Las distribuciones de Linux no siempre disponen de las mismas firmas autorizadas que Windows, y es aquí donde entra en juego lo que es Shim en Linux.

Shim (del inglés, “calce” o “cuña”) es un pequeño programa que actúa como intermediario entre Secure Boot y el sistema operativo Linux. El propio archivo Shim, cuyo desarrollo puedes seguir en su repositorio oficial, está firmado con una clave que Secure Boot reconoce (generalmente una clave de Microsoft), lo que permite su ejecución.

Posteriormente, Shim verifica la firma del cargador de arranque de Linux, como GRUB, y si la validación es exitosa, le transfiere el control. Este proceso crea una cadena de confianza desde Secure Boot hasta Linux, permitiendo que el sistema operativo se inicie de forma segura en equipos con Secure Boot habilitado. Este método también es aplicable a BSD y otros sistemas operativos que no son Windows.

Caducidad del Certificado UEFI 2026 y su Impacto

Uno de los temas más actuales es la caducidad del certificado UEFI 2026. El certificado raíz que Microsoft usa desde 2011 para firmar shim de terceros (Microsoft Corporation UEFI CA 2011) caduca el 27 de junio de 2026. A partir de esa fecha, Microsoft ya no firmará nuevos shim ni bootloaders con esa clave antigua.

Desde finales de 2025 empezaron a firmar con los nuevos certificados, como detalla la documentación oficial de Microsoft: Microsoft UEFI CA 2023 (para bootloaders y aplicaciones EFI de terceros como shim) y Microsoft Option ROM UEFI CA 2023 (separado, para componentes de hardware como Option ROMs de tarjetas gráficas o red).

¿Qué significa esto para los usuarios de Linux?

Si tu sistema ya tiene shim instalado y firmado antes de la caducidad → sigue arrancando sin problemas, incluso después de junio 2026 (las firmas existentes no caducan retroactivamente gracias al timestamping y la cadena de confianza en firmware).

Pero las actualizaciones futuras de shim (críticas por parches de seguridad como la vulnerabilidad BootHole) o instalaciones nuevas en hardware reciente (muchos PCs nuevos de 2026 solo traen los certificados 2023 de fábrica) pueden fallar si tu db UEFI no tiene el nuevo certificado agregado.

Solución práctica: mantén tu distribución siempre actualizada. Esta es la forma más segura de cómo actualizar Shim en Linux. Distros como Ubuntu, Fedora, Debian y Red Hat (según su anuncio oficial) ya lanzan o planean shim dual-signed o migrados al 2023. Si instalas Linux en una máquina comprada en 2026 o posterior, usa una ISO reciente. En resumen: es una transición manejable y no rompe sistemas existentes, pero explica el revuelo actual en la comunidad.

¿Por qué es importante Secure Boot?

La tecnología Secure Boot es crucial porque protege contra algunas de las amenazas de malware más peligrosas, como los bootkits y rootkits. Estos programas maliciosos se ocultan en el proceso de arranque, ejecutándose antes que el propio sistema operativo, lo que los hace extremadamente difíciles de detectar y eliminar. Puedes aprender más sobre cómo proteger tu sistema en mi guía de seguridad para Ubuntu.

Con Secure Boot habilitado:

• Los rootkits y bootkits son bloqueados durante la etapa de verificación de firmas.
• Otros programas no autorizados no pueden interferir en el proceso de arranque.
• Los usuarios son alertados antes de que posibles vulnerabilidades se conviertan en problemas mayores.

Cuándo y Cómo Desactivar Secure Boot en Linux

Aunque Secure Boot es una herramienta útil para mejorar la seguridad del sistema, en ocasiones puede causar problemas:

• Instalación de sistemas no verificados: Algunas distribuciones de Linux pueden no tener las firmas necesarias para pasar la verificación de Secure Boot. Si tu sistema operativo no es reconocido, no arrancará.
• Uso de controladores o cargadores de arranque de terceros: Ciertos controladores o cargadores de arranque pueden no estar firmados, lo que provoca problemas de compatibilidad.
• Configuración avanzada: Para usuarios experimentados que desean personalizar su sistema, las restricciones de Secure Boot pueden ser un obstáculo. Desactivarlo proporciona mayor flexibilidad para entornos de desarrollo o experimentación.

Si decides que necesitas cómo desactivar Secure Boot en Linux, el proceso es relativamente sencillo:

1. Primero, reinicia tu ordenador y accede a la interfaz de configuración del BIOS/UEFI. Generalmente, esto se logra presionando repetidamente una tecla como F2, F10 o Supr (Del) durante la pantalla de inicio del firmware, antes de que el sistema operativo comience a cargar.
2. Busca la opción Secure Boot. Normalmente se encuentra en la sección Boot o Security.
3. Desactiva Secure Boot. Cambia el valor de la opción a Disabled. Luego, guarda los cambios y sal de la configuración de UEFI.

Distribuciones Linux Compatibles con Secure Boot

A pesar de los problemas de compatibilidad que Secure Boot puede presentar para Linux, muchas distribuciones se han adaptado con éxito. Estas incluyen cargadores de arranque firmados y los archivos Shim necesarios para ejecutarse en sistemas con Secure Boot habilitado.

La mayoría de las distribuciones populares son compatibles. Entre ellas se incluyen:

• Ubuntu
• Fedora
• OpenSUSE/SUSE
• Zorin
• Linux Mint
• Debian
• Red Hat

Esta lista no es exhaustiva, pero cubre muchas de las distribuciones Linux más conocidas. Para saber si la que te interesa es compatible, consulta su sitio web oficial. Ubuntu, por ejemplo, detalla su implementación en su documentación oficial.

Dado que no todas las distribuciones lo son, es recomendable verificarlo antes de la instalación. Si tu distribución no es compatible, siempre puedes desactivar la función en la configuración de UEFI o añadir manualmente su cargador de arranque a la lista de permitidos.

Secure Boot en Linux: ¿Seguridad o Limitación?

Existen opiniones divididas sobre Secure Boot por razones fundadas. Aunque la tecnología fue diseñada para mejorar la seguridad, impone limitaciones a los usuarios de Linux, especialmente a aquellos que utilizan controladores propietarios o distribuciones menos populares.

La necesidad de utilizar archivos Shim firmados por Microsoft plantea interrogantes sobre la dependencia de un proveedor específico. Además, si necesitas utilizar controladores propietarios para una tarjeta gráfica, surgen los conocidos problemas con drivers NVIDIA y Secure Boot, y desactivarlo es prácticamente un requisito, ya que de lo contrario podrían no instalarse.

Esto representa un compromiso que los usuarios deben aceptar, una situación que es objeto de debate en la comunidad. En casos avanzados, proyectos como Fedora explican cómo firmar módulos del kernel manualmente para mantener la compatibilidad.

En cualquier caso, ahora comprendes qué es Secure Boot en Linux y cómo esta tecnología afecta el arranque de tu sistema.