Secure Boot, una de las barreras de seguridad más importantes en ordenadores modernos con Windows 10 y Windows 11, lleva una década con un fallo de seguridad difícil de justificar. Investigadores de ESET han descubierto 11 bootloaders UEFI antiguos, conocidos como shims, firmados por Microsoft y que permiten saltarse UEFI Secure Boot y ejecutar código no fiable antes de que arranque el sistema operativo. Estamos ante un problema de dimensiones considerables que permitiría cargar bootkits UEFI como BlackLotus, Bootkitty o HybridPetya incluso en máquinas con Secure Boot activado.
Secure Boot fallaba justo donde debía ser más fuerte
Como ya sabemos, Secure Boot nació para impedir que un ordenador arrancase software no autorizado antes de cargar Windows. Su funcionamiento es sencillo: si el componente de arranque no está firmado por una autoridad de confianza o ha sido revocado, no debería poder ejecutarse.
El problema es que esa cadena de confianza dependía en gran parte de binarios firmados por Microsoft. Algunos de esos binarios, aunque viejos y vulnerables, seguían siendo aceptados por los ordenadores. ESET explica que los 11 shims afectados son versiones 0.9 o anteriores y que pueden usarse en cualquier sistema UEFI que confíe en el certificado Microsoft Corporation UEFI CA 2011.

El fallo no es solo de Windows, pero Microsoft está en el centro
Esto no es un agujero exclusivo de Windows 10 o Windows 11. Es un problema de UEFI Secure Boot, una tecnología usada por equipos actuales y también por distribuciones Linux. Sin embargo, es la firma de Microsoft la que permite que muchos de estos componentes sean aceptados por defecto en la mayoría de sistemas UEFI.
Desde ESET lo tienen claro, Microsoft desempeña un papel central en la protección de la mayoría de dispositivos basados en UEFI, ya que es la que decide qué puede ejecutarse durante el arranque y qué no. Secure Boot se vendía como una puerta acorazada contra malware que se cargaba en el arranque, pero durante años esa puerta aceptaba llaves antiguas que ya no deberían abrir nada.
Once shims antiguos y vulnerabilidades de hace una década
ESET identificó 11 aplicaciones UEFI antiguas firmadas por Microsoft que permiten eludir Secure Boot. El caso se ha agrupado bajo los identificadores CVE-2026-8863 y CVE-2026-10797.
Algunos de esos componentes confiables tienen marcas de tiempo de firma o compilación que van desde 2013 hasta 2025, lo que nos permite confirmar que se trata de un problema de seguridad que llevaba más de una década vigente sin que nadie lo hubiera detectado. Es decir, Secure Boot ha sido inseguro durante, al menos, 13 de los 14 años que tiene desde su lanzamiento.