Libreboot se ha ganado, con los años, una fama merecida entre quienes quieren recuperar el control del arranque y del hardware de sus equipos. Con la nueva versión Libreboot 26.01, apodada “Magnanimous Max”, el proyecto da un salto interesante: amplía el abanico de placas soportadas, pule a fondo su sistema de construcción y refuerza la integración con coreboot y GRUB, todo ello manteniendo su filosofía de firmware libre y transparente.

Lejos de ser una simple versión incremental, Libreboot 26.01 llega como revisión estable tras varias RC muy probadas (en concreto, la RC4, que se ha declarado directamente estable), incorporando meses de trabajo desde la anterior 25.06. Esta entrega incluye soporte para nuevos equipos x86, mejoras profundas en la automatización del build system lbmk, actualizaciones de componentes críticos como GNU GRUB, SeaBIOS y diversas utilidades, además de un buen puñado de correcciones de bugs y refactorizaciones orientadas a la robustez a largo plazo.

Novedades clave en Libreboot 26.01 “Magnanimous Max”

La edición 26.01, publicada el 30 de enero de 2026, se presenta como una versión estable sucesora de Libreboot 25.06. A nivel interno, hay un cambio importante: la 26.01 estable es esencialmente la misma que la RC4 previa, tras someterla a pruebas adicionales que han validado su estabilidad. Quien ya hubiera flasheado 26.01 RC4 no necesita reflashear, ya que no hay cambios en el código.

El foco de esta entrega está puesto en tres frentes principales: ampliación de hardware soportado, actualización de la base técnica (coreboot, GRUB, utilidades) y una gran limpieza en el build system lbmk, orientada tanto a la seguridad (menos uso de eval, mejor gestión de temporales, control de errores) como al rendimiento (cachés de Git mejor diseñadas, uso de herramientas consistentes como sbase, libarchive, etc.).

Nuevas placas y sistemas compatibles

Uno de los titulares de Libreboot 26.01 es la incorporación de cuatro nuevos equipos oficialmente soportados, ampliando el abanico de hardware donde se puede instalar el firmware:

• HP Pro 3500 Series (port por Vesek)
• Topton XE2 N150 / X2E N150 (port por Riku Viitanen)
• Lenovo ThinkPad T580 (port por Johann C. Rode)
• Dell Latitude E7240 (port por Iru Cai)

La incorporación del Dell Latitude E7240 es especialmente llamativa porque se trata de un portátil con plataforma Intel Haswell (4ª generación), todavía muy presente en entornos laborales y domésticos. Además, en este modelo es posible realizar flasheos internos del firmware usando la herramienta dell-flash-unlock, lo que simplifica enormemente la instalación de Libreboot sin tener que abrir el equipo ni recurrir a programadores externos.

En el caso del Topton X2E N150, estamos ante un equipo tipo firewall/appliance basado en Alder Lake-N, que gana soporte gracias a un trabajo específico de integración de FSP y manejo de Intel ME adaptado a esta familia. Esto implica no comprimir el FSP para garantizar su inserción fiable, desactivar ciertos modos de depuración y ajustar la configuración de coreboot para esta placa concreta.

El HP Pro 3500, un sobremesa con CPUs Sandy Bridge o Ivy Bridge, recibe un tratamiento especial en 26.01: se amplía el espacio CBFS, se reconfigura la región ME y se ajustan varios parámetros de seguridad y arranque para aprovechar mejor la ROM. Es, en definitiva, una forma de dar una segunda vida libre a hardware de más de una década que todavía puede rendir bien con GNU/Linux o BSD.

Finalmente, el ThinkPad T580 se suma a la ya nutrida familia de portátiles Lenovo soportados. Además del propio port de placa, se han trabajado aspectos como el soporte de Thunderbolt y detalles de audio, siguiendo la línea de otros modelos Kaby Lake/Coffee Lake ya presentes en Libreboot.

Mejoras en placas ya soportadas y cambios de configuración

Además del hardware nuevo, Libreboot 26.01 introduce cambios relevantes en placas previamente soportadas, orientados a aprovechar mejor el espacio de la ROM y pulir comportamientos que en la práctica suponían molestias o limitaciones.

En el caso del HP Pro 3500 se han aplicado varias medidas específicas: ampliar el CBFS hasta igualar la región BIOS, utilizar una imagen de Intel ME truncada en lugar de simplemente limpiada, desbloquear todas las regiones de flash por defecto y establecer el bit HAP (que desactiva ME) siempre que el hardware lo permite. Además, se ha definido como estándar el uso de SeaGRUB como payload (arrancando primero SeaBIOS y después GRUB), en lugar de la configuración invertida que se utilizaba inicialmente.

En las plataformas Dell Latitude, se ha incluido un parche que desactiva el apagado térmico prematuro (a unos 87°C), delegando la gestión en los mecanismos estándar de throttling del CPU. Esto evita apagados intempestivos que, aunque “seguros”, podían resultar muy molestos en el día a día.

La gama ThinkPad T480/T480s también recibe atención: se ha corregido la detección del conector de auriculares (antes era necesario cambiar manualmente el puerto con herramientas tipo pavucontrol) y se ha ajustado el soporte de Thunderbolt, incluyendo la eliminación de configuraciones duplicadas o redundantes para que el firmware compile y funcione correctamente con las versiones más recientes de coreboot.

Otra novedad interesante es la incorporación de una configuración especial para ThinkPad T440p con un CBFS de 4 MB. Esta imagen está pensada para facilitar tareas de recuperación, ya que permite reprogramar únicamente el segundo chip de 4 MB sin necesidad de tocar el primero; eso sí, si se quiere desactivar o “neutered” Intel ME por completo, sigue siendo necesario flashear el conjunto completo.

Funciones y soportes aplazados para futuras versiones

No todo lo que estaba en la hoja de ruta ha llegado a tiempo para Libreboot 26.01. Varias características se han dejado intencionadamente fuera de esta versión estable, para evitar confusiones y no exponer a los usuarios a configuraciones poco probadas. Entre lo pospuesto destacan tres líneas de trabajo:

• Integración amplia de Chromebooks Intel/AMD x86-64 a partir de las configuraciones de coreboot mantenidas por MrChromebox.
• Migración de algunas placas AMD (como ASUS KCMA-D8 y KGPE-D16) a la bifurcación de coreboot 15h.org.
• Soporte para placas Intel Alder Lake adicionales más allá de las ya integradas (como el Topton X2E N150).

Parte de este trabajo existe ya en ramas privadas y scripts experimentales, incluida una herramienta de integración de Chromebooks que adapta automáticamente configuraciones de MrChromebox al sistema de build de Libreboot. Sin embargo, faltan por resolver detalles como la descarga e integración automática de imágenes Intel ME para Alder Lake (procesadas con me_cleaner) y la realización de pruebas físicas sobre la mayoría de Chromebooks.

En un primer momento se planteó incluir estas placas en 26.01 pero marcadas como release="n" (sin ROMs precompiladas, solo build manual). Finalmente se optó por no introducirlas para no crear expectativas ni confundir al usuario final. La intención del proyecto es ir incorporando estos cambios en las ramas de pruebas y posibles versiones candidatas, comenzando previsiblemente por Libreboot 26.06 RC1 alrededor de abril de 2026.

Base técnica actualizada: coreboot y GNU GRUB al día

Uno de los pilares de esta versión es la actualización de la base de código de coreboot que Libreboot utiliza. En 26.01 se ha sincronizado el árbol principal con una instantánea de mediados de enero de 2026, lo que sitúa a Libreboot prácticamente al día respecto al proyecto upstream. A lo largo del ciclo de desarrollo también se fueron adoptando revisiones intermedias (abril, junio y julio de 2025) para ir integrando mejoras paulatinas y correcciones.

En paralelo, la carga útil principal basada en GNU GRUB se ha actualizado a la versión estable 2.14. Durante el camino se trabajó sobre la 2.14-rc1, pero finalmente la release 26.01 incorpora la versión estable con numerosos parches. Uno de los cambios más relevantes es que GRUB pasa a usar una versión más moderna de libgcrypt integrada como submódulo, lo que permite, por ejemplo, eliminar implementaciones internas de Argon2 y dar soporte nativo a un mayor abanico de algoritmos y cifrados.

Gracias a esta modernización, la compatibilidad con LUKS2 y esquemas de cifrado modernos en GRUB mejora sensiblemente. Se añaden más ciphers, se facilita el uso de configuraciones tipo BLS (Boot Loader Specification) y UKI (Unified Kernel Image), que aunque no han sido exhautivamente testeadas en esta versión, no deberían presentar problemas teóricos con la pila actual.

Además de GRUB, otras piezas como SeaBIOS, PCSX-Redux Open BIOS, flashprog y deguard han sido actualizadas a revisiones más recientes, incorporando correcciones de bugs, mejoras de compatibilidad y pequeños cambios de mantenimiento. Incluso detalles aparentemente menores, como actualizar fechas de copyright en PCSX-Redux, se han cuidado para reflejar con precisión el estado de los parches importados en 2025.

Refuerzo de la criptografía y soporte de arranques cifrados

Uno de los beneficios prácticos de la actualización a GRUB 2.14 y la nueva libgcrypt es un incremento real de las capacidades criptográficas disponibles directamente desde el firmware. En Libreboot 26.01 se activan módulos adicionales de GRUB que habilitan ciphers modernos (por ejemplo, basados en BLAKE, Argon2 mejor integrado, etc.), lo que se traduce en una mejor compatibilidad con volúmenes cifrados LUKS2.

Este refuerzo es especialmente relevante para quienes utilizan discos totalmente cifrados desde el arranque, ya que reduce fricciones entre el bootloader y las configuraciones criptográficas recientes de distribuciones GNU/Linux. De este modo, resulta más sencillo tener un sistema donde, desde el primer byte leído en el disco, todo pase por rutas libres y auditablemente seguras.

Gran limpieza en lbmk: menos eval, mejor manejo de TMPDIR y más robustez

Buena parte del trabajo de Libreboot 26.01 no se ve a simple vista, pero tiene un impacto enorme en la seguridad y estabilidad del build system lbmk, que es la herramienta encargada de coordinar descargas de código, aplicación de parches y compilación de ROMs.

Uno de los cambios más notables es la reducción drástica del uso de eval en scripts POSIX sh. Aunque no se han identificado vulnerabilidades reales, el equipo de Libreboot considera que eval debe usarse solo en casos muy justificados, ya que abre potencialmente la puerta a inyecciones de código si se cometen errores en el futuro. Se han reescrito numerosas funciones, eliminado shorthands como setcfg y se ha optado por técnicas más seguras basadas en . (source) y macros simples.

Otro frente importante ha sido la gestión de directorios temporales y de caché. Antes, muchos ficheros “temporales” terminaban en cache/, que en realidad está pensado para almacenar elementos persistentes. En 26.01 se reorganiza el sistema para situar TMPDIR dentro del propio directorio de trabajo de lbmk, abandonando la dependencia de /tmp (que puede ser un tmpfs limitado en memoria). Esto permite simplificar toda la lógica de ficheros temporales y eliminar mecanismos alternativos como la antigua variable xbloc.

Relacionado con esto, se ha rediseñado el mecanismo de lock files y detección de instancias padre/hijo. Ahora se escribe información clave en el propio lock (incluyendo el valor de TMPDIR), se endurecen los permisos (para evitar borrados accidentales) y se clarifica el flujo por el cual lbmk decide si se está ejecutando en una instancia principal o una secundaria. Con ello se reducen significativamente las condiciones de carrera y se evita que dos procesos de construcción pisen el mismo árbol de código.

También se ha puesto mucho cuidado en el manejo de errores y salida temprana de funciones. Utilidades internas como x_, fx_ y dx_ se han reforzado para comprobar argumentos y estados de retorno, y comandos sensibles que antes se encadenaban con pipes sin control (por ejemplo, ciertas llamadas a cat) ahora se envuelven con control de errores explícito. Se trata de una mejora importante de cara a que, si algo falla, lbmk lo detecte y pare, en lugar de continuar con artefactos corruptos.

Descargas más fiables: Git, hashes, cachés y dependencia de herramientas externas

La forma en que Libreboot descarga y cachea código fuente de coreboot, GRUB, U-Boot y demás proyectos también se ha modernizado considerablemente en 26.01. Se ha implementado un sistema de caché de Git donde cada remoto (incluidos mirrors de respaldo) se clona en un repositorio separado, evitando mezclar varios orígenes en un mismo clone.

Las funciones de obtención de código (get.sh, tree.sh) aprovechan ahora comandos como git show en lugar de git whatchanged (ya deprecado), y controlan más cuidadosamente qué revisiones están ya cacheadas para no descargar en vano. Se introducen flags como -f y -F para controlar si se debe forzar o no una actualización, con macros como forcepull que facilitan la lectura del código.

En paralelo, se ha reforzado el sistema de hashes y eliminación de artefactos antiguos. Ahora, cuando cambia el árbol de un proyecto, se recalculan hashes y se eliminan ficheros obsoletos en el orden correcto (primero borrar, luego actualizar el hash) para evitar estados inconsistentes. Se ha unificado la lógica de gestión de hashes para builds de árbol completo y builds de target, y se ha reorganizado la estructura de directorios (por ejemplo, colocando las construcciones de targets bajo tree/target/) para hacer más sencilla la limpieza selectiva.

Otro paso clave ha sido la decisión de no depender de utilidades arbitrarias del sistema anfitrión cuando pueden variar entre distribuciones. En 26.01 Libreboot integra y compila su propia copia de proyectos como sbase (de suckless) y libarchive para proporcionar comandos como sha512sum, bsdtar, bsdunzip o bsdcpio con comportamiento predecible en cualquier distro. De este modo se dejan atrás herramientas como unar, unrar o unzip en la mayoría de casos, reduciendo discrepancias entre entornos.

Se han refinado igualmente mensajes de error y diagnósticos, haciendo que lbmk sea más verboso cuando algo falla, pero sin abrumar al usuario con falsos positivos (por ejemplo, se evita ahora informar de hashes “incorrectos” en extracciones intermedias que, en realidad, son parte de un proceso donde solo el último archivo importa).

Mejoras específicas en Intel ME, FSP y utilidades relacionadas

En lo referente a blobs inevitables como Intel Management Engine y FSP, Libreboot 26.01 da pasos intermedios para manejarlos de la forma más limpia posible sin enredar demasiado el diseño del build system. Se ha introducido una opción -p en me_cleaner (incluida en versiones antiguas) para que, cuando se marque MEclean="y" en la configuración de una placa, se pueda extraer ME sin modificar la imagen original si así se requiere.

En placas como el Topton X2E N150 se aprovecha esta flexibilidad para simplemente fijar el bit HAP y dejar el binario ME intacto, evitando errores relacionados con comprobaciones FPTR y reduciendo la complejidad de tratamiento de imágenes recientes de Intel. En el caso del HP Pro 3500, en cambio, se opta por un ME truncado que libera más espacio en la región BIOS, aumentando el CBFS disponible para payloads adicionales.

Respecto a FSP, se han aplicado varias correcciones y ajustes: no comprimir el FSP de Alder Lake-N en el Topton, permitir el uso de imágenes FSP de Alder Lake en releases sin exigir repos específicos, y renombrar configuraciones como el modo fspgop para dejar claro cómo se inicializa la parte gráfica (integrándolo en la nomenclatura de imágenes sin que el usuario tenga que preocuparse).

Otras correcciones y pequeñas mejoras esparcidas por el código

A lo largo del ciclo entre Libreboot 25.06 y 26.01 se ha integrado un volumen considerable de pequeños parches que, sumados, mejoran la experiencia global. Entre ellos se encuentran:

• Activar SMBIOS type 16/17 para la inicialización de RAM nativa Haswell, facilitando una descripción más precisa de la memoria al sistema operativo.
• Ajustar el comportamiento de libgfxinit para sondear EDID dos veces en adaptadores problemáticos, imitando la estrategia del kernel Linux.
• Configurar el menú de U-Boot en Chromebooks GRU (bob/kevin) con un timeout más razonable de 8 segundos en lugar de 30, acelerando reinicios no supervisados.
• Introducir nuevos layouts de teclado (por ejemplo, para Noruega) en GRUB.
• Ajustar la configuración por defecto de coreboot en placas Kabylake para no fijar a fuego el parámetro power_on_after_fail, delegándolo en el backend CBFS.
• Pequeños retoques estéticos como devolver el logo arcoíris a U-Boot en las builds específicas de Libreboot.

También se han actualizado los scripts de instalación de dependencias para nuevas versiones de distribuciones como Fedora 42/43 y se han adaptado las dependencias de Arch Linux a la división del paquete unifont, garantizando que las builds funcionen correctamente en sistemas modernos.

Disponibilidad, claves GPG y espejos de descarga

Libreboot 26.01 está disponible en el directorio stable/26.01/ del servidor oficial rsync.libreboot.org, así como en una amplia red de mirrors HTTP/HTTPS repartidos por distintos países (Princeton, MIT, University of Kent, koddos.net, cicku, etc.), además de espejos “ocultos” accesibles por Tor e i2p. El proyecto recomienda encarecidamente que los mirrors oficiales repliquen desde el servidor rsync central y que los usuarios finales utilicen preferentemente los mirrors HTTPS.

Las releases se firman siempre con GPG. Para esta versión se utiliza una clave con huella completa 8BB1 F7D2 8CF7 696D BF4F 7192 5C65 4067 D383 B1FF, válida para lanzamientos posteriores a 26/01/2024 y hasta finales de 2028 salvo revocación. Claves anteriores (como la de huella 98CC DDF8 E560 47F4 75C0 44BD D0C6 2464 FA8B 4856, ya expirada) siguen publicadas para verificar releases antiguas, incluidos los paquetes con ejecutables estáticos más viejos.

El procedimiento recomendado consiste en descargar la clave, verificar el fichero de sumas SHA512 y su firma GPG, y solo entonces proceder a instalar. Esta práctica es aún más importante si se utilizan mirrors sin cifrado (HTTP/FTP), donde la integridad del canal no está garantizada; en esas circunstancias, la comprobación de firmas es absolutamente esencial.

A partir de cierto punto histórico, Libreboot dejó de ofrecer binarios estáticos en las releases recientes, centrándose en distribuir código fuente y ROMs precompiladas. Las utilidades necesarias (como flashprog) se construyen a partir de las fuentes, siguiendo la documentación oficial. Para quienes necesiten las ISOs de código fuente obligatorias por GPLv2 de versiones antiguas, siguen estando disponibles en el directorio ccsource de los mirrors de rsync.

Foco en libertad, derecho a reparar y usabilidad para no expertos

Más allá de los detalles técnicos de esta versión, el mensaje que subyace en Libreboot 26.01 es claro: el firmware libre es una herramienta para recuperar soberanía sobre el hardware. El proyecto se opone abiertamente a mecanismos como Intel Boot Guard que solo ejecutan firmware firmado por el fabricante, porque impiden al usuario modificar sus propias máquinas y cierran la puerta a soluciones libres como coreboot.

La visión del equipo es que la libertad de estudiar, compartir y modificar el software debe considerarse un derecho básico. Asociado a ello va el derecho a reparar y a alargar la vida de los dispositivos: la existencia de Libreboot permite seguir actualizando y utilizando hardware que los fabricantes dan por “obsoleto”, con firmwares propietarios que raramente reciben parches de seguridad pasado un tiempo.

A nivel práctico, Libreboot busca que todo esto no sea un lujo reservado a desarrolladores. La combinación de lbmk como sistema de compilación automatizado, ROMs precompiladas y documentación paso a paso convierte a Libreboot en un “coreboot empaquetado” para usuarios finales. Si alguien quiere compilar desde cero y ajustar cada detalle, puede hacerlo; pero quien solo desee un firmware libre que funcione “sin pelearse” encuentra en Libreboot una alternativa lista para usar.

Con Libreboot 26.01 “Magnanimous Max”, el proyecto consolida su posición como referente en firmware libre basado en coreboot, emparejando una base técnica muy actualizada con una batería considerable de correcciones, mejoras de seguridad y nuevas placas soportadas. Para quien tenga un HP Pro 3500, un Dell Latitude E7240, un ThinkPad T580 o un appliance como el Topton X2E N150, esta versión abre la puerta a deshacerse del BIOS propietario; para el resto de usuarios y colaboradores, supone un paso más en la maduración de un ecosistema que apuesta, sin ambigüedades, por la libertad del usuario sobre su propio hardware.