Secure Boot, una de las barreras de seguridad más importantes en ordenadores modernos con Windows 10 y Windows 11, lleva una década con un fallo de seguridad difícil de justificar. Investigadores de ESET han descubierto 11 bootloaders UEFI antiguos, conocidos como shims, firmados por Microsoft y que permiten saltarse UEFI Secure Boot y ejecutar código no fiable antes de que arranque el sistema operativo. Estamos ante un problema de dimensiones considerables que permitiría cargar bootkits UEFI como BlackLotus, Bootkitty o HybridPetya incluso en máquinas con Secure Boot activado. Secure Boot fallaba justo donde debía ser más fuerte Como ya sabemos, Secure Boot nació para impedir que un ordenador arrancase software no autorizado antes de cargar Windows.
Su funcionamiento es sencillo: si el componente de arranque no está firmado por una autoridad de confianza o ha sido revocado, no debería poder ejecutarse. El problema es que esa cadena de confianza dependía en gran parte de binarios firmados por Microsoft. Algunos de esos binarios, aunque viejos y vulnerables, seguían siendo aceptados por los ordenadores. ESET explica que los 11 shims afectados son versiones 0.9 o anteriores y que pueden usarse en cualquier sistema UEFI que confíe en el certificado Microsoft Corporation UEFI CA 2011.
El fallo no es solo de Windows, pero Microsoft está en el centro Esto no es un agujero exclusivo de Windows 10 o Windows 11. Es un problema de UEFI Secure Boot, una tecnología usada por equipos actuales y también por distribuciones Linux. Sin embargo, es la firma de Microsoft la que permite que muchos de estos componentes sean aceptados por defecto en la mayoría de sistemas UEFI. Desde ESET lo tienen claro, Microsoft desempeña un papel central en la protección de la mayoría de dispositivos basados en UEFI, ya que es la que decide qué puede ejecutarse durante el arranque y qué no.
Secure Boot se vendía como una puerta acorazada contra malware que se cargaba en el arranque, pero durante años esa puerta aceptaba llaves antiguas que ya no deberían abrir nada. Once shims antiguos y vulnerabilidades de hace una década ESET identificó 11 aplicaciones UEFI antiguas firmadas por Microsoft que permiten eludir Secure Boot. El caso se ha agrupado bajo los identificadores CVE-2026-8863 y CVE-2026-10797. Algunos de esos componentes confiables tienen marcas de tiempo de firma o compilación que van desde 2013 hasta 2025, lo que nos permite confirmar que se trata de un problema de seguridad que llevaba más de una década vigente sin que nadie lo hubiera detectado.
Es decir, Secure Boot ha sido inseguro durante, al menos, 13 de los 14 años que tiene desde su lanzamiento. Microsoft ya ha revocado los binarios afectados Este fallo de seguridad es más inquietante que un simple virus. Esto es debido a que permite cargar malware en la fase de arranque, justo la más vulnerable de cualquier sistema. ESET menciona amenazas como BlackLotus, Bootkitty o HybridPetya como ejemplos de bootkits UEFI o de malware que serían capaces de aprovechar la vulnerabilidad.
Lo bueno es que ESET informó de sus hallazgos en febrero de 2026 y Microsoft revocó los binarios vulnerables en la actualización de dbx incluida en el Patch Tuesday del 9 de junio de 2026. Un equipo actualizado debería rechazar esos binarios. Sin embargo, este es el principal problema. Muchos usuarios siguen posponiendo las actualizaciones por pereza o simplemente por desconocimiento.
Como siempre, os recomendamos aplicar los parches de actualizaciones lo antes posible. El posible riesgo de que la actualización cause algún problema de funcionamiento es mucho menor que quedar expuesto a los agujeros de seguridad que cierra.