Durante el último año, un número considerable de usuarios que utilizaban sistemas con arranque dual entre Windows y Linux han experimentado dificultades importantes. Este contratiempo apareció tras una actualización de seguridad de Windows que Microsoft lanzo en agosto de 2024, la cual provocó que numerosos ordenadores dejaran de poder arrancar correctamente en Linux cuando Secure Boot estaba activado. Los afectados se toparon con mensajes como «SBAT self-check failed: Security Policy Violation», impidiendo el acceso normal al sistema operativo Linux.

El origen del fallo fue la implementación de Secure Boot Advanced Targeting (SBAT), una función destinada a aumentar la protección bloqueando cargadores de arranque antiguos o inseguros. En teoría, este ajuste no debía afectar a aquellos equipos en los que se detectase un arranque dual, pero algunos métodos personalizados de configuración dual no fueron reconocidos, aplicándose el bloqueo igualmente. Como resultado, distribuciones populares de Linux como Ubuntu, Debian, Mint, Zorin OS o Puppy Linux se vieron afectadas en sistemas con Windows 10, 11 y diversas versiones de Windows Server.

Microsoft y un proceso de reparación prolongado

Tras las primeras quejas y reportes de usuarios, Microsoft no tardó en reconocer la existencia del problema, aunque la solución definitiva no llegó hasta mayo de 2025, casi nueve meses después. Durante ese tiempo, la empresa ofreció diversas soluciones temporales, que requerían desde eliminar manualmente el ajuste conflictivo de SBAT hasta modificar el registro de Windows mediante comandos específicos, un proceso nada sencillo para usuarios menos experimentados.

Entre las recomendaciones para mitigar el problema, Microsoft llegó incluso a sugerir ejecutar un comando como reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD. Esta modificación ayudaba a evitar que futuras actualizaciones continuasen bloqueando el arranque de Linux, pero no solucionaba la situación de fondo para todos los afectados.

Actualizaciones clave y sistemas afectados

La solución definitiva se ha implementado en varias actualizaciones de seguridad lanzadas el 13 de mayo de 2025, identificadas con códigos como KB5058405 y KB5058385, dependiente de la versión de Windows utilizada. Estos parches han restaurado la funcionalidad de arranque dual normal en los sistemas que sufrieron el error. Las versiones afectadas incluyen Windows 11 (23H2, 22H2, 21H2), Windows 10 (21H2) y diferentes ediciones de Windows Server desde 2012 en adelante.

Los usuarios no necesitan realizar pasos adicionales en la mayoría de los casos, ya que la actualización se distribuye automáticamente a través de Windows Update. Aunque algunos usuarios han reportado situaciones puntuales, como la aparición de la solicitud de clave de recuperación de BitLocker en ciertas instalaciones de Windows 10, Microsoft aún no ha reconocido estos casos como un problema generalizado.

Por qué sucedió y qué ha cambiado

El fallo surgió porque la detección de arranques duales no contemplaba todas las formas posibles en las que se puede instalar un sistema Linux junto a Windows. Así, se aplicaba el control SBAT de manera indiscriminada, bloqueando incluso cargadores de arranque legítimos. La compañía ha ajustado la lógica de ese mecanismo para identificar mejor los entornos de arranque dual y permitir el funcionamiento correcto de ambos sistemas operativos.

Gracias a los parches más recientes, las actualizaciones de septiembre de 2024 en adelante ya no contienen los parámetros que originaron el bloqueo, y la instalación de las últimas versiones de Windows debería garantizar una convivencia fluida entre Windows y Linux en equipos con Secure Boot habilitado.

Este episodio ha puesto en evidencia la necesidad de prestar más atención a los usuarios que apuestan por soluciones mixtas y la importancia de probar detenidamente mecanismos de seguridad que pueden afectar a configuraciones menos convencionales, pero todavía muy habituales.