En unos meses el mundo del hardware de PC podría enfrentarse a un problema silencioso pero serio, muy serio. El motivo no es un fallo físico ni una obsolescencia planificada, sino algo mucho más burocrático como es la caducidad de un certificado que hasta ahora firmaba el firmware UEFI de muchas GPU, en concreto el Microsoft UEFI CA 2011. Si no hay reacción a tiempo, los afectados, millones de usuarios, podrían encontrarse con pantallas en negro desde el propio encendido del PC, sin pasar del POST, y en algunos casos, con equipos prácticamente inservibles por tarjetas gráficas con un UEFI GOP sin firmar para 2026.
Prácticamente nadie había caído en un hecho tan relevante como el que vamos a ver, pero cotejando la información y hasta donde Microsoft muestra, sí que parece ser real, ya que todo parte de un análisis en Reddit del usuario Gaseousgalaxy. A partir de aquí surge la pregunta clave y más pertinente: ¿por qué es tan relevante este asunto y qué pinta tiene en medio de todo esto el llamado UEFI GOP?
Qué es UEFI GOP y por qué miles de modelos de gráficas pueden dejar KO a millones de PC sin firmar a partir de junio de 2026
Confieso que esta sí que no la vi venir, y normalmente estoy al tanto de lo que va a pasar, o como mínimo, lo intuyo en mayor o menor medida. Por eso, hay que centrar en la información desde la base para entender el problema y la posible solución, así que vamos con un poco de teoría. El Graphics Output Protocol (GOP) es un módulo que forma parte del firmware UEFI de la tarjeta gráfica en cuestión, sea de AMD, NVIDIA o Intel. Su función es muy concreta y necesaria, ya que permite que el sistema muestre imagen en el arranque sin depender del viejo modo VGA heredado de la BIOS tradicional.
Gracias a GOP, podemos arrancar en modo UEFI puro, aprovechar arranques rápidos y, sobre todo, activar Secure Boot, el mecanismo que valida que los binarios de arranque estén correctamente firmados y sean de confianza, tan de moda desde hace tiempo por Windows 11 y su requisito en varios juegos.
Aquí está el quid de la cuestión y el problema en sí mismo, ya que, si el GOP no está firmado con un certificado que UEFI reconozca como válido (revocado), Secure Boot directamente lo bloquea, y el PC ni siquiera llega a mostrar la pantalla del firmware. Es decir, no pasa ni el POST, pantalla en negro y el PC te dirá eso de “buenos días señor, que si quiere bolsa”.
Firmado en 2011, expira el año que viene: llegarán VBIOS por doquier y UEFI para todos, o se acabó si quieres usar Windows 11
Para los que sigan en Linux o Windows 10, nada cambia. El gran escollo es que gran parte de los GOP de tarjetas gráficas fueron firmados con el certificado de 2011 que expira en 2026. ¿Qué ocurre entonces? Que si Microsoft o los fabricantes de placas base dejan de reconocer ese certificado en la base de datos de claves (db) de UEFI, el GOP no cargará.
¿Y qué pasa si desactivo Secure Boot?, pensarán algunos. Esa solución es pan para hoy y hambre para mañana. En Windows 11, ciertas funciones de virtualización y hasta varios sistemas anti-cheat en juegos exigen tener Secure Boot activo. Apagarlo implica perder esas compatibilidades y debilitar la seguridad frente a malware en la fase de arranque y no poder jugar a esos juegos.
La salida pasa, sí o sí, por los fabricantes. NVIDIA, AMD e Intel y sus socios (ASUS, MSI, GIGABYTE, Zotac, Palit, etc.) deben lanzar actualizaciones de VBIOS con GOP re-firmados usando el certificado Microsoft Option ROM UEFI CA 2023.
Si no lanzan firmwares para solventar el problema... ¿Estamos ante una especie de obsolescencia programada?
De momento no hay un listado oficial de qué modelos exactos están afectados, aunque se asume que prácticamente todas las NVIDIA desde la serie GTX 600 en adelante llevan GOP, y en AMD desde la serie HD7000. Lo importante aquí no es si tienen o no el protocolo, sino con qué certificado fue firmado.
Sea como fuere, toda la industria del hardware para GPU se tiene que poner a trabajar en base a estas nuevas VBIOS para las gráficas donde UEFI GOP deje de ser un problema en 2026. Pero, ¿y si no lo hacen? Pues sería una excusa más para forzar el cambio de hardware, que curiosamente, se está vinculando al final de Windows 10 y la adopción masiva de Windows 11 como SO de referencia de Microsoft (gorrito de plata off).
Por suerte, la comunidad ha puesto en manos de todos herramientas fuera de las de NVIDIA y AMD, para actualizar el UEFI GOP de las gráficas (sobre todo para la primera, ver hilo inicial de Reddit), así que es de esperar que, si no se consigue por parte de los dos actores, los usuarios trabajen en ello, pero, ¿qué tiene que decir Microsoft ante todo esto?
KEK, CA, DB y DBX, la terminología de la que, ojalá, no tengamos que volver a hablar
Microsoft no se lava las manos en este asunto, por suerte, y ha lanzado un comunicado explicando qué va a pasar, y en principio, todo debería estar listo para la gran mayoría del hardware, aunque tampoco se garantiza la total compatibilidad, puesto que hay más actores en la ecuación. Los de Redmond dicen lo siguiente:
Desde que Windows introdujo la compatibilidad con el Arranque Seguro, todos los dispositivos basados en Windows han incluido el mismo conjunto de certificados de Microsoft en la KEK y la base de datos.
Estos certificados originales están a punto de caducar, y su dispositivo se verá afectado si tiene alguna de las versiones de certificado mencionadas. Para seguir utilizando Windows y recibir actualizaciones periódicas de su configuración de Arranque Seguro, deberá actualizar estos certificados.
Terminología
- KEK: Clave de inscripción de claves.
- CA: Autoridad de certificación.
- DB: Base de datos de firmas de arranque seguro.
- DBX: Base de datos de firmas revocadas de arranque seguro.
Las placas base tampoco se librarán, ¿qué modelos actualizarán sus correspondientes apartados en UEFI? ¿Cuáles estarán oficialmente KO en el olvido y no podrán instalar Windows 11?
Y es que no es lo mismo caducado, que revocado, por eso la terminología es importante aquí. Microsoft llama a la acción a todos y prosigue diciendo que:
Durante la renovación del certificado UEFI CA 2011 de Microsoft Corporation, dos certificados separan la firma del cargador de arranque de la firma de la ROM opcional. Esto permite un control más preciso de la confianza del sistema. Por ejemplo, los sistemas que necesitan confiar en las ROM opcionales pueden agregar la UEFI CA 2023 de Microsoft Option ROM sin añadir confianza para Boot Loader de terceros.
Microsoft ha emitido certificados actualizados para garantizar la continuidad de la protección de Arranque Seguro en dispositivos Windows. Microsoft gestionará el proceso de actualización de estos nuevos certificados en una parte significativa de los dispositivos Windows. Además, ofreceremos una guía detallada para las organizaciones que gestionan sus propias actualizaciones de dispositivos.
Importante: Cuando caduquen las CA 2011, los dispositivos Windows que no tengan nuevos certificados 2023 ya no podrán recibir correcciones de seguridad para los componentes previos al arranque que comprometen la seguridad del arranque de Windows.
Es posible que deba tomar medidas para garantizar la seguridad de su dispositivo Windows cuando los certificados caduquen en 2026. Tanto la base de datos de arranque seguro UEFI como la clave de arranque seguro (KEK) deben actualizarse con las nuevas versiones de certificado de 2023 correspondientes.
Guste o no, huele a cribado de algún modo. Quizás para el hardware más antiguo, léase las GTX 600 o HD7000. En un momento donde el tercer trimestre de este año y segundo del que viene deben ser claves para las ventas de gráficas ante los tenues incrementos para el Q2 de 2025 en envíos, parece que UEFI GOP será otra criba más en 2026, y el problema es que no sabemos hasta qué punto lo será.
No hay comentarios:
Publicar un comentario
Por favor sé respetuoso/a y escribe adecuadamente. Gracias.