Cómo solucionar el error SBAT / Secure Boot

Por /

Este error impide arrancar Linux tras actualizar Windows

Si utilizas dual boot con Windows y Linux, seguramente alguna vez te has encontrado con ese momento de pánico en el que reinicias tu equipo… y Linux simplemente no arranca. Eso mismo me pasó hace poco: después de actualizar Windows, mi distribución Linux empezó a mostrar un mensaje extraño relacionado con Secure Boot y no había manera de iniciar el sistema.

El error decía algo como:

“SBAT self-check failed: Security Policy Violation”

Y ahí comienza el viaje de buscar soluciones por foros, arrancar con live-USB, probar comandos… hasta descubrir que el problema no era mío, sino de una actualización de Microsoft que rompió el arranque de múltiples distribuciones Linux al aplicar un parche de Secure Boot llamado SBAT.
Microsoft reconoció oficialmente este error, que afectaba a distros como Ubuntu, Mint, Zorin, Fedora y muchas más.

En esta guía te explico qué significa este error, por qué ocurre y lo más importante: Cómo solucionar el error SBAT / Secure Boot paso a paso, tanto si quieres recuperar tu Linux inmediatamente como si quieres evitar que vuelva a repetirse en el futuro.

Índice

¿Por qué ocurre este error SBAT tras actualizar Windows?

En 2024–2025, Microsoft lanzó un parche de seguridad para Secure Boot que actualizaba los datos de SBAT (Secure Boot Advanced Targeting). Su función era bloquear bootloaders vulnerables.

El problema:

  • El parche se instaló aunque el sistema tenía Linux en dual boot,
  • Algunas configuraciones UEFI no fueron detectadas correctamente,
  • El cargador shim firmado de Linux quedó bloqueado por Secure Boot,
  • Resultado: Linux no arrancaba y aparecía el mensaje de violación de política SBAT.

Microsoft publicó el arreglo definitivo en mayo de 2025, pero muchos equipos siguen arrastrando el fallo si no están totalmente actualizados o si el shim usado es antiguo.

Solución completa paso a paso

A continuación te dejo cada método ordenado de menor a mayor complejidad.

Actualizar Windows a la versión que corrige SBAT (solución oficial)

Microsoft corrigió el problema en los parches del 13 de mayo de 2025, devolviendo la compatibilidad con los cargadores de Linux.

Pasos:

  1. Arranca Windows.
  2. Abre Configuración → Windows Update.
  3. Instala todas las actualizaciones acumulativas posteriores a mayo 2025.
  4. Reinicia.

En muchos casos, Linux vuelve a iniciar sin necesidad de nada más.

Actualizar shim y GRUB desde un Live USB de Linux

Si tu distribución sigue usando un shim antiguo, necesitará actualizarlo.

Pasos:

  1. Arranca con un Live USB de tu distro.
  2. Abre una terminal.
  3. Monta la partición raíz:
sudo mount /dev/sdXn /mnt
  1. Monta la partición EFI:
sudo mount /dev/sdXn /mnt/boot/efi
  1. Cambia al entorno del sistema instalado:
sudo arch-chroot /mnt
  1. Actualiza todo:
sudo apt update && sudo apt full-upgrade
  1. Reinstala GRUB y vuelve a generar configuración:

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=linux
sudo update-grub
  1. Reinicia el equipo.

Esto reemplaza shim, GRUB y las entradas EFI de forma limpia.

Desactivar Secure Boot temporalmente para poder arrancar

No es la solución ideal, pero permite volver a entrar a Linux para repararlo.

Pasos:

  1. Entra a la BIOS/UEFI.
  2. Busca Secure Boot.
  3. Ajústalo a Disabled.
  4. Guarda cambios y reinicia.

Linux arrancará sin restricciones de SBAT.
Luego podrás actualizar shim y volver a activar Secure Boot.

Eliminar la política SBAT aplicada por Windows (si el firmware se quedó “atascado”)

Microsoft indicó una solución temporal cuando el firmware recibía una política incorrecta.

Ejecuta en Windows (CMD como admin):

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Esto deshabilita la aplicación de la política SBAT conflictiva.

Después:

  • Reinicia en BIOS
  • Desactiva y vuelve a activar Secure Boot para forzar que el firmware recargue políticas limpias

Reparar el arranque usando Boot‑Repair (rápido y fácil para Ubuntu/Mint/Zorin)

  1. Arranca con un USB de Ubuntu/Mint.
  2. Instala Boot‑Repair:

sudo add-apt-repository ppa:yannubuntu/boot-repair
sudo apt update
sudo apt install boot-repair
  1. Ejecuta:
boot-repair
  1. Usa Recommended Repair.

Este método suele resolver automáticamente GRUB, shim y las entradas EFI dañadas.

Reinstalación manual del cargador EFI (último recurso)

Si nada funciona:

  1. Monta la partición EFI.
  2. Borra las entradas dañadas:
sudo rm -r /mnt/boot/efi/EFI/ubuntu
  1. Reinstala GRUB desde chroot como en el método 2.

Conclusión

El error SBAT tras actualizar Windows no es culpa de Linux: fue un problema confirmado por Microsoft que afectó a numerosos equipos con arranque dual debido a políticas de Secure Boot aplicadas incorrectamente.

La buena noticia es que tienes varios caminos para recuperarlo, desde actualizar Windows hasta reinstalar shim/GRUB o reinicializar las políticas de Secure Boot.

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio