¿Cuáles son las diferencias entre BIOS y UEFI y cómo protegerlos?

Cuando iniciamos un sistema operativo tradicionalmente lo primero que se ejecuta es el Basic Input/Output System (BIOS); luego viene el sistema operativo y finalmente las aplicaciones que tengamos en nuestra computadora. Hace un par de años se empezó a utilizar el Unified Extensible Firmware Interface (UEFI), un nuevo estándar para PCs diseñado para reemplazarlo.

Fue desarrollado en colaboración con más de 140 compañías con el objetivo de mejorar la interoperabilidad del software y solucionar las limitaciones del BIOS, entre las que se encuentra la seguridad. Por lo tanto, resulta interesante conocer las diferencias entre BIOS y UEFI y sus características, para saber cuál es la mejor forma de protegerse.

BIOS y UEFI: controlando el firmware del sistema

Para empezar es importante aclarar que el firmware es una porción de código almacenado en una  en una memoria ROM que se utiliza para establecer las instrucciones que controlan las operaciones de los circuitos de un dispositivo.

Este componente de código va integrado al hardware del dispositivo, pero puede ser modificado a través de órdenes externas con el objetivo de mantenerlo actualizado y funcionando de acuerdo a los requerimientos propios del sistema.

La función primordial del BIOS es inicializar los componentes de hardware y lanzar el sistema operativo. Además, con su carga se inicializan otras funciones de gestión importantes como la energía y la gestión térmica.

Por otra parte el UEFI se puede cargar en cualquier recurso de memoria no volátil, lo cual permite que sea independiente de cualquier sistema operativo. Debido a estas características, posee las mismas funciones que BIOS, pero con características adicionales.

Características de BIOS y UEFI

Dado que BIOS inicializa el sistema, hay alguna características fundamentales asociadas a su ejecución:

  • Puede ejecutar código para verificar la integridad de todos los componentes del firmware antes de que se ejecute y lance el sistema operativo.
  • Probar los componentes clave de hardware en la computadora para garantizar que toda la información cargue correctamente y no genere problemas sobre la información.
  • Controla módulos adicionales como la tarjeta de vídeo o la tarjeta de red de área local, entre otros dispositivos.
  • Selecciona el dispositivo de arranque que puede ser el disco duro, una unidad de CD o un dispositivo USB.

El proceso de arranque UEFI tiene características similares, pero la diferencia es que el código se ejecuta en 32 – o 64-bit de modo protegido en la CPU, no en modo de 16 bits como suele ser el caso de BIOS. En el caso de Windows 8 ya conocemos cómo activar el modo UEFI y Secure Boot, lo cual nos da un nivel adicional de protección en nuestro sistema.

Dentro de las características adicionales de UEFI está la reducción en el tiempo de inicio y reanudación, y cuenta con un proceso que ayuda a prevenir de ataques del tipo bootkit y utilizar el modo Secure Boot. Estas son algunas de las razones por las cuales UEFI podría reemplazar a BIOS en el sistema de arranque de las computadoras.

Seguridad en BIOS y UEFI

Como la primera porción de código ejecutada por un dispositivo es alguno de estos dos estándares, deben considerarse como un componente crítico para la seguridad. De hecho, gestionar la seguridad en la BIOS permite fortalecer el equipo desde el encendido. Dado que se ha detectado una posible vulnerabilidad que afectaría el modo Secure Boot del UEFI, es importante tener algunas recomendaciones de seguridad que nos ayudan a elevar los niveles de seguridad en nuestro equipo:

  1. Todos los cambios a BIOS o UEFI deberán utilizar un mecanismo autenticado de actualización o un mecanismo seguro de actualización local.
  2. El mecanismo de actualización local seguro sólo se debe usar para cargar la primera imagen o para recuperarse de una corrupción en el sistema de arranque.
  3. También garantizará la autenticidad e integridad de la imagen de actualización, especialmente si se trata de BIOS.
  4. Para evitar la modificación no intencional o maliciosa del sistema, deberán estar protegidos con un mecanismo que no se pueda reemplazar fuera de una actualización autenticada.
  5. El mecanismo de actualización será el único capaz de modificar el BIOS del sistema sin necesidad de intervención física.

Al tener presentes estas medidas de seguridad lograremos, independiente del modelo de arranque utilizado en nuestro dispositivo, que este garantice la integridad de nuestra información.

Créditos imagen: ©yanajenn/Flickr
 

Autor , ESET

  • hyorch

    Pues no me he enterado de por que UEFI es más seguro

    • Camilo Gutierrez

      Que tal, una de las principales características de UEFI es Secure Boot, una opción que permite proteger al sistema operativo de códigos maliciosos como bootkits.
      Lo que hace Secure Boot es impedir que la computadora inicie el sistema operativo si el boot loader no posee un certificado digital válido producto de la modificación arbitraria de un código malicioso.
      Si quieres conocer un poco más te invitamos a que veas nuestro post sobre como Secure Boot implementa protección contra bootkit (http://eset.la/UNfUgx) y si quieres conocer cómo activar el modo UEFI y Secure Boot en Windows 8 (eset.la/1dnhBqn )

      Saludos y gracias por comentar,

      H Camilo GA

      • Ghost000

        Eso quiere decir que si cambias el boot screen la pc no te va a funcionar más porque el UEFI detecta que el archivo no está firmado.

  • guyo

    ese uefi es la unica forma legal de obligarte a cambiar a win 8 y posteriores

    • Camilo Gutierrez

      Que tal, hay que tener presente que UEFI no depende del sistema operativo, lo que si es de esperar es que los nuevos sistemas operativos sean compatibles únicamente con UEFI para aprovechar las ventajas que ofrece esta nueva tecnología.

  • Efrain

    UEFI lo implementa MICROSOFT, su intencion es obligar a quien adquiere la PC o LAPTOP, instalar unicamente SISTEMA OPERATIVO WINDOWS ORIGINAL asi liquidar definitivamente a los otros sistemas operativos libres o de pago, en otras palabras tu ya no serias el dueño del equipo que compras, sino seria absolutamente MICROSOFT, pues por ahora la unica ventana que aun nos permite instalar otros sistemas operativos a nuestro equipo es la famosa opcion: SECURE BOOT, pero si esto desaparece del SETUP, habremos dejado de ser dueños de nuestros equipos, ahora la razon por la que los fabricantes de placas la implementan el famoso UEFI es porque aun quieren sobrevivir para el gigante MICROSOFT, pues si no implementan, en sus placas definitivamente no podran instalar WINDOWS, con la cual estarian condenados a salir del mercado; asi que MICROSOFT los tiene como amenazados: o implementas UEFI o ya no fabricas PLACAS y te dedicas a otra cosa. ESA ES LA VERDAD.

    • Camilo Gutierrez

      Que tal Efrain, es un punto interesante el que mencionas en tu comentario, pero es importante tener en cuenta que UEFI es, de una forma sencilla, una interfaz para comunicar el sistema operativo y los controladores del hardware. Esta interfaz es independiente del sistema operativo que utilice la máquina. Como parte del consorcio UEFI hacen parte más de 140 empresas de todo tipo (http://www.uefi.org/members) que aportan a su desarrollo, por lo tanto no podríamos sesgar la implementación de UEFI a un solo fabricante.

Síguenos