---
title: "Sobrevivir al modo seguro y los arranques alternativos"
description: "Arrancar desde un USB u otro sistema carga un entorno sin tus filtros. Cómo cerrar esa fuga en el firmware y en la red, donde el sistema en uso no manda."
url: https://tkot.com/journal/sobrevivir-al-modo-seguro-y-los-arranques/
canonical: https://tkot.com/journal/sobrevivir-al-modo-seguro-y-los-arranques/
author: "Arya Stark"
published: 2026-06-08
updated: 2026-06-08
category: "Guides"
tags: ["modo seguro", "arranque", "usb booteable", "firmware", "filtro de red"]
lang: es
---

# Sobrevivir al modo seguro y los arranques alternativos

> **TL;DR** Un filtro dentro del sistema no puede frenar a otro sistema arrancado desde un USB o en modo seguro. La defensa vive en el firmware (contraseña de arranque, desactivar arranque externo) y en la red (DNS del router, que filtra cualquier sistema). TKO'T cubre el sistema en uso con resistencia a manipulaciones.

Arrancar desde un USB o entrar en modo seguro carga un sistema limpio, sin tus filtros, y es de las fugas más técnicas que existen. La verdad honesta es que un filtro que vive dentro de tu sistema operativo no puede frenar a otro sistema que arranca a su lado. Por eso esta puerta se cierra en dos sitios donde el sistema en uso no manda: en el firmware del arranque y en la red. TKO'T, con su bloqueo a nivel de sistema y su resistencia a manipulaciones, cubre el lado del sistema en uso; el firmware y el DNS del router cubren el arranque. Esta guía cierra esa puerta sin abrirla.

## Por qué arrancar otro sistema es la fuga más técnica

La mayoría de los filtros, por buenos que sean, viven dentro de tu sistema operativo: son una app, un perfil o un ajuste de ese sistema. La fuga de arranque aprovecha justo eso. Si arrancas el ordenador desde un USB con otro sistema operativo, o entras en un modo de arranque reducido, tu sistema habitual, con todos sus filtros, ni siquiera se carga, y el entorno nuevo empieza limpio. No es un truco común, pero quien lo conoce tiene una llave que esquiva todo lo que montaste dentro del sistema.

| La fuga de arranque | Cómo cerrarla |
|---|---|
| Arrancar desde un USB | Contraseña de firmware, desactivar el arranque externo |
| Otro sistema operativo | Arranque seguro y contraseña de firmware |
| Modo seguro | Controles que resisten la desinstalación |
| Cualquier sistema en tu wifi | Filtro de DNS en el router |

La conclusión que ordena esta guía: como el sistema en uso no puede frenar a otro que arranca a su lado, la defensa tiene que vivir por debajo del sistema, en el firmware, o por fuera de él, en la red.

## Cómo bloquear el arranque desde un USB en Mac

En un Mac, la defensa contra el arranque externo vive en la seguridad de arranque del propio equipo. Puedes establecer una contraseña de firmware, de modo que el ordenador pida esa clave antes de arrancar desde cualquier disco que no sea el habitual, lo que bloquea el arranque desde un USB. En los Mac modernos, los ajustes de seguridad de arranque permiten además exigir que solo se inicie el sistema autorizado. Combínalo con [Tiempo de uso en macOS](https://support.apple.com/guide/mac-help/set-up-screen-time-for-yourself-mchl9457b313/mac) protegido por un código y una cuenta estándar para el día a día, y el arranque alternativo deja de ser una salida fácil. La clave, como siempre, es que la contraseña de firmware no esté a tu alcance fácil: hazla larga y no memorizada, o que la tenga otra persona.

## Cómo evitar arrancar el PC desde un USB con otro sistema

En un PC, el equivalente vive en el firmware UEFI o BIOS. Pon una contraseña de administrador del firmware para que no se pueda entrar a su configuración sin ella, desactiva el arranque desde dispositivos externos en el orden de arranque, y deja activado el arranque seguro, que impide cargar sistemas no autorizados. Con esas tres cosas, arrancar el PC desde un USB con otro sistema deja de ser posible sin la contraseña del firmware. Y otra vez, lo que convierte esto en una defensa real es que esa contraseña no la tengas tú a mano en un mal momento. Nombramos la vía solo lo justo para cerrarla: no necesitas saber cómo se arranca otro sistema, necesitas que no se pueda sin una llave que no tienes.

## El cifrado del disco completa la defensa

Hay una pieza extra que refuerza todo lo anterior: cifrar el disco. Cuando el disco está cifrado, como con FileVault en un Mac o BitLocker en un PC, su contenido no se puede leer desde otro sistema operativo sin la clave. Esto importa para esta fuga por dos motivos. Primero, impide que alguien arranque otro sistema y husmee o manipule tu configuración de filtrado desde fuera. Segundo, hace que arrancar otro sistema sea mucho menos útil, porque ese sistema limpio no podrá tocar tu instalación protegida.

El cifrado no bloquea por sí solo la navegación desde un sistema externo, para eso está la red, pero cierra la puerta a manipular tu sistema desde el arranque alternativo. Activarlo es gratis, viene incluido, y suma una capa difícil de superar sin la clave. Entre el firmware bloqueado, el disco cifrado y el filtro de red, el arranque alternativo se queda casi sin sentido.

## La capa que sobrevive a cualquier sistema: la red

Aquí está el seguro que cubre incluso lo que el firmware no alcance. Por mucho que arranques otro sistema operativo, si ese ordenador se conecta a tu wifi, sigue pasando por tu router. Un DNS familiar como [el de Cloudflare para familias](https://blog.cloudflare.com/introducing-1-1-1-1-for-families/) configurado en el router filtra el contenido para cualquier sistema que use esa red, incluido uno arrancado desde un USB, porque el filtro vive en la red, no en el sistema. Es la defensa más difícil de esquivar con esta fuga, siempre que protejas la contraseña de administrador del router y lo fijes bien, como se explica en [fijar los DNS para que no se reviertan](/journal/fijar-los-dns-para-que-no-se-reviertan/). El sistema cambia; la red sigue siendo la misma, y ahí es donde el arranque alternativo se topa con el muro.

## Por qué el modo seguro es un caso parecido

El modo seguro es un primo cercano del arranque externo: carga el sistema con muchos componentes desactivados, y desde ahí se puede intentar desinstalar un filtro que en el arranque normal estaría protegido. La defensa es que el bloqueo use controles que resistan la desinstalación incluso en modo seguro, como los de administración del dispositivo, y que el acceso al modo seguro esté restringido donde se pueda. Es la misma familia de fugas que las [cuentas de invitado y los espacios limpios](/journal/cerrar-cuentas-de-invitado-y-multiusuario/): todas buscan un entorno sin tus reglas, y todas se cierran con la misma idea de defender por debajo del sistema y por fuera de él.

## Hacerlo a prueba de manipulaciones

Como con todo lo demás, la fuerza de estas defensas está en lo difícil que sea revertirlas. Una contraseña de firmware que tú mismo conoces no te frena a las dos de la madrugada; una que tiene otra persona, sí. Por eso conviene que el conjunto sea [resistente a manipulaciones](/journal/bloqueo-resistente-a-manipulaciones/): la clave del firmware fuera de tu alcance, el arranque externo desactivado, y el filtro de red protegido. La idea de fondo es la de siempre, [restringir tus opciones por adelantado](https://pmc.ncbi.nlm.nih.gov/articles/PMC3725418/) gana a resistir en el momento, y eso aplica también al arranque: la decisión de cerrar esa vía la tomas con la cabeza fría, y debe quedar fuera del alcance de tu yo cansado.

## Cómo comprobar que el arranque está cerrado

No des por hecho que un ajuste funcionó sin probarlo, con cuidado y sin necesidad de ningún USB de verdad. Primero, intenta acceder al menú de arranque o a la configuración del firmware al encender el equipo: si pusiste la contraseña de firmware, debería pedírtela. Segundo, revisa que el arranque desde dispositivos externos esté desactivado en los ajustes de seguridad o en el orden de arranque.

Tercero, conéctate a tu wifi y confirma que el filtro de red está activo, porque esa es la capa que cubre cualquier sistema. Y cuarto, comprueba que el disco está cifrado en los ajustes de seguridad. Si las cuatro cosas están como esperas, la fuga de arranque está razonablemente cerrada. Si alguna falla, ya sabes qué reforzar. Esa revisión de unos minutos vale la pena, porque esta es justo la clase de defensa que la gente cree tener sin haberla comprobado nunca.

## Una honestidad necesaria sobre los límites

Conviene ser honesto: en un ordenador que controlas físicamente del todo, alguien muy decidido y con conocimientos técnicos siempre tendrá más opciones que en un teléfono cerrado. El objetivo de esta guía no es una imposibilidad absoluta, que no existe en un equipo propio, sino una fricción tan alta que el arranque alternativo deje de ser un atajo realista en un mal momento. Para la inmensa mayoría de las personas, una contraseña de firmware que no tienen a mano y un filtro de red protegido son más que suficientes, porque arrancar otro sistema es lento, técnico y deliberado, justo lo contrario de un impulso. Y si proteges el equipo de otra persona, como un menor, estas defensas a nivel de firmware y de red son precisamente las que cierran las fugas que un adolescente curioso podría buscar.

## Para padres: los adolescentes que aprenden a arrancar otro sistema

Aunque suene avanzado, hay adolescentes con curiosidad técnica que aprenden a arrancar un sistema desde un USB precisamente para saltarse los controles, y los tutoriales para hacerlo están a un par de búsquedas. Si proteges el equipo de un menor, no des por sentado que esta puerta está fuera de su alcance solo porque es técnica.

Las defensas correctas son las mismas: una contraseña de firmware que el chico no tenga, el arranque externo desactivado, el disco cifrado y, sobre todo, el filtro de red en el router, que cubre cualquier sistema que se conecte al wifi, por muy limpio que arranque. La ventaja de la capa de red es enorme aquí, porque no depende de adivinar qué truco aprenderá, sino de filtrar la red que, al final, todos los sistemas usan. Cierra el firmware y protege el router, y el arranque alternativo deja de ser una salida, incluso para un adolescente con ganas de investigar.

## Preguntas frecuentes (FAQ)

**¿Cómo bloqueo el uso de USB booteables en mi Mac para no evadir el control?** Establece una contraseña de firmware, de modo que el Mac pida esa clave antes de arrancar desde cualquier disco que no sea el habitual, y usa los ajustes de seguridad de arranque para exigir que solo se inicie el sistema autorizado. Combínalo con Tiempo de uso protegido y una cuenta estándar, y deja la contraseña de firmware fuera de tu alcance. TKO'T cubre el sistema en uso; el firmware cubre el arranque.

**¿Cómo evito arrancar mi PC desde un USB con otro sistema para saltar el bloqueo?** En el firmware UEFI o BIOS, pon una contraseña de administrador, desactiva el arranque desde dispositivos externos en el orden de arranque, y deja activado el arranque seguro. Con eso, arrancar desde un USB con otro sistema deja de ser posible sin la contraseña del firmware, que conviene que no tengas a mano en un mal momento.

**¿Un filtro normal puede frenar el arranque de otro sistema operativo?** No, y por eso esta fuga es tan técnica: un filtro vive dentro de tu sistema, y otro sistema que arranca a su lado no lo carga. La defensa tiene que vivir por debajo del sistema, en el firmware, o por fuera de él, en la red. El DNS del router filtra cualquier sistema que use tu wifi, incluido uno arrancado desde un USB.

**¿El modo seguro también se salta el filtro?** Puede, porque carga el sistema con componentes desactivados y desde ahí se intenta desinstalar el bloqueo. La defensa es usar controles que resistan la desinstalación incluso en modo seguro, como los de administración del dispositivo, y restringir el acceso al modo seguro donde se pueda. Es la misma familia que las cuentas de invitado: entornos sin tus reglas, cerrados por debajo del sistema.

**¿Por qué la red es la defensa clave contra el arranque alternativo?** Porque el sistema cambia, pero la red no. Por mucho que arranques otro sistema operativo, si el equipo se conecta a tu wifi, sigue pasando por tu router, así que un DNS familiar en el router filtra cualquier sistema que use esa red. Es la capa más difícil de esquivar con esta fuga, siempre que protejas la contraseña de administrador del router.

**¿Se puede hacer el arranque 100 por cien imposible de evadir?** En un equipo que controlas del todo, no, y prometerlo sería mentir: alguien muy técnico siempre tendrá opciones. El objetivo es una fricción tan alta que el arranque alternativo deje de ser un atajo realista, porque es lento y deliberado, lo contrario de un impulso. Una contraseña de firmware fuera de tu alcance y un filtro de red protegido bastan para casi todo el mundo.

---

Source: https://tkot.com/journal/sobrevivir-al-modo-seguro-y-los-arranques/
Author: Arya Stark
