El bastionado de la BIOS/UEFI es un proceso fundamental para proteger la configuración de seguridad de un equipo desde el momento en que se enciende. La BIOS/UEFI es el sistema encargado de inicializar el hardware antes de cargar el sistema operativo, y su configuración adecuada permite controlar quién puede acceder al dispositivo y desde qué fuentes puede arrancar. Este trabajo aborda medidas esenciales de seguridad que incluyen el establecimiento de contraseñas de usuario y administrador, la desactivación de arranques externos y la configuración de un orden de arranque seguro. También se exploran opciones avanzadas, como el Arranque Seguro (Secure Boot) y el Trusted Platform Module (TPM), que refuerzan la protección contra intentos de acceso no autorizados desde el nivel más bajo del sistema. Al implementar estas medidas, se asegura un entorno más seguro y confiable para el equipo y sus datos.
Para este proyecto de bastionado de BIOS/UEFI, se ha utilizado una BIOS de MSI, específicamente el modelo MAG B650 TOMAHAWK WIFI con versión E7D75AMS.110. Es importante tener en cuenta que la interfaz y las opciones de configuración pueden variar significativamente entre diferentes fabricantes de BIOS. Cada fabricante puede organizar y nombrar las opciones de seguridad de forma distinta, lo que implica que algunos pasos descritos podrían diferir o no estar disponibles en otras marcas o modelos. Por esta razón, se recomienda consultar la documentación específica de cada fabricante para asegurar una configuración correcta y completa del bastionado.
El primer paso para asegurar la BIOS/UEFI es aprender a acceder al menú de configuración, ya que cada fabricante puede asignar diferentes teclas para entrar a este menú. Para ello, reinicia el equipo y, al iniciar, presiona la tecla que normalmente aparece en la pantalla (las más comunes son Supr, F2, F10 o Esc).
Para facilitar el acceso a la configuración de la BIOS/UEFI según el fabricante del equipo, a continuación se presenta una tabla con los fabricantes más comunes y las teclas que suelen utilizarse para ingresar al menú de configuración.
Fabricante | Tecla de acceso a BIOS/UEFI |
ASUS | F2, Supr o F9 |
Acer | F2 o Supr |
Dell | F2 |
HP | F10, Esc o F1 |
Lenovo | F1, F2 o Fn + F2 |
MSI | Supr |
Toshiba | F1, Esc o F12 |
Samsung | F2 o F10 |
Sony | F1, F2 o F3 |
Gigabyte | Supr o F2 |
Intel | F2 |
Lenovo ThinkPad | Enter y F1 |
Esta tabla puede ayudarte a identificar rápidamente la tecla que necesitas para acceder a la configuración de BIOS/UEFI en función del fabricante del equipo.
En la imagen a continuación se muestra un ejemplo de una pantalla de inicio típica, que indica la tecla específica a presionar para ingresar a la BIOS/UEFI.
Ilustración: Imagen de pantalla de inicio con instrucciones para acceder a la BIOS/UEFI y ejemplos de teclas comunes para acceder a ella.
Es importante configurar una contraseña de administrador (o Supervisor Password) para proteger el acceso al propio menú de configuración de la BIOS/UEFI. Esta contraseña solo debe estar disponible para personas autorizadas, ya que permite realizar cambios en configuraciones sensibles, como el orden de arranque y las opciones de seguridad avanzadas. Para establecerla, entraremos en las opciones avanzadas de la BIOS, luego en "Settings", "Security", y por ultimo le damos en "Administrator password" para ponerle una contraseña.
Ilustración: Imagen de la pantalla de inicio, con la opcion de Opciones Avanzadas
Ilustración: Imagen de la pantalla de opciones avanzada, click en settings
Ilustración: Imagen de la pantalla de settings, click en Security
Ilustración: Imagen de la pantalla de settings, click en Administrator password
Ilustración: Imagen de la pantalla de creacion de la contraseña
El siguiente paso es configurar una contraseña de usuario o de encendido, también conocida como "Power-On Password". Esta contraseña se solicita cada vez que se enciende el equipo, protegiéndolo contra accesos no autorizados. En el menú de opciones avanzadas, entramos en "settings", luego en "Security" y por ultimo clicamos en "User password" para ponerle una contraseña.
Ilustración: Imagen de la pantalla de inicio, con la opcion de Opciones Avanzadas
Ilustración: Imagen de la pantalla de opciones avanzada, click en settings
Ilustración: Imagen de la pantalla de settings, click en Security
Ilustración: Imagen de la pantalla de settings, click en User password
Ilustración: Imagen de la pantalla de creacion de la contraseña
Para garantizar que el equipo siempre arranque desde el sistema operativo autorizado, ajusta el orden de arranque para que el disco duro interno esté en primer lugar. En el menú "Boot Order", selecciona el disco interno y asegúrate de que esté en la primera posición. También es aconsejable mover todos los dispositivos externos al final de la lista, o directamente deshabilitarlos como veremos mas adelante para evitar cualquier intento de acceso no autorizado desde dispositivos extraíbles. Para ello vamos a "Opciones Avanzadas" > "settings" > "Boot" y ponemos el disco principal primero y los USB los bajamos a bajo del todo.
Ilustración: Imagen de la pantalla de inicio, con la opcion de Opciones Avanzadas
Ilustración: Imagen de la pantalla de opciones avanzada, click en settings
Ilustración: Imagen de la pantalla de settings, click en Boot
Ilustración: Imagen de la pantalla de Boot, disco principal en primera opcion
Una de las opciones más efectivas para prevenir ataques físicos es deshabilitar el arranque desde dispositivos externos, como unidades USB o discos CD/DVD. Estos medios pueden ser utilizados para cargar sistemas operativos alternativos o herramientas que eludan las medidas de seguridad. Para su configuracion, nuevamente entraremos en las opciones avanzadas, luego en "Settings", luego entramos en "Boot" y desabilitamos todos los boot options menos el disco duro principal con sistema operativo.
Ilustración: Imagen de la pantalla de inicio, con la opcion de Opciones Avanzadas
Ilustración: Imagen de la pantalla de opciones avanzada, click en settings
Ilustración: Imagen de la pantalla de settings, click en Boot
Ilustración: Imagen de la pantalla de Boot, desabilitamos todos los boot options
El "Arranque Seguro" o "Secure Boot" es una opción que asegura que el sistema solo cargue sistemas operativos firmados y autorizados por el fabricante, previniendo el uso de bootloaders modificados o de sistemas no confiables. Esta función es especialmente útil para proteger el equipo de malware que intenta cargarse durante el inicio. Para activar el "Arranque Seguro", dirígete a la sección de "Security Boot" dentro de ella encontraremos la opcion que tendremos que habilitar, para ello la pondremos en "Enabled". Asegúrate de que el modo de arranque esté configurado en UEFI, ya que es necesario para que Secure Boot funcione correctamente.
Ilustración: Imagen de la pantalla de inicio, con la opcion de Opciones Avanzadas
Ilustración: Imagen de la activacion de la contraseña de usuario
Ilustración: Imagen de la pantalla de settings, click en Security
Ilustración: Imagen de la pantalla de Security, Security Boot
Ilustración: Imagen de la pantalla de Security Boot, click en Security Boot > Enabled
El "Trusted Platform Module" (TPM) es un componente de seguridad que se encarga de almacenar claves de cifrado y asegurar la integridad del sistema. Activar el TPM añade una capa de protección adicional, ya que permite el cifrado de datos sensibles y refuerza las medidas de autenticación. Para habilitar esta función, dirígete a la sección de seguridad o configuración avanzada de la BIOS/UEFI y selecciona la opción de TPM. En este caso en la pagina principal de la BIOS hay un acceso rapido a ella. Esta opción es compatible con tecnologías de cifrado avanzadas como BitLocker en Windows y LUKS en Linux, brindando mayor seguridad al sistema.
Ilustración: Imagen de la pantalla de inicio, On TPM