¿Windows 10 se queda colgado al activar Secure Boot y no te deja dar el salto a Windows 11? Aquí tienes una guía práctica y probada en un equipo real (Ryzen 5 3600 + MSI B550M PRO‑VDH) para resolver el bloqueo de arranque, habilitar fTPM/TPM 2.0 y completar la actualización sin formatear.
Síntomas y contexto del problema
Tras activar Secure Boot en BIOS/UEFI, Windows 10 no termina de arrancar: la rueda de carga gira y el sistema nunca entra al escritorio. Si desactivas Secure Boot, el equipo sí inicia. El escenario tipo es este:
- CPU: AMD Ryzen 5 3600.
- Placa base: MSI B550M PRO‑VDH (MS‑7C95).
- Discos inicializados en GPT.
- fTPM/TPM 2.0 activado en BIOS.
- Windows PC Health Check mostraba inicialmente “no hay TPM 2.0” o “Secure Boot no disponible”, impidiendo la actualización a Windows 11.
Qué lo causa realmente
En muchas placas B550 de primera hornada, versiones antiguas de BIOS incluyen microcódigo y paquetes AGESA previos, gestión de fTPM menos pulida y, en ocasiones, problemas con las claves de Secure Boot (PK/KEK/DB/DBX). Al activar Secure Boot con una BIOS antigua o con claves no cargadas, el boot chain puede quedar en un estado inconsistente: el gestor de arranque de Windows está firmado, pero la UEFI no valida correctamente o entra en conflicto con CSM/Legacy. Resultado: el sistema se queda en la pantalla de arranque indefinidamente.
Solución breve que funciona
- Actualizar la BIOS a una versión de 2024 del fabricante. Soluciona incompatibilidades (AGESA, fTPM y claves de Secure Boot) que bloqueaban el arranque.
- Si la placa “no ve” el USB al flashear: formatea en FAT32, copia solo el archivo de BIOS en la raíz, usa un pendrive pequeño/antiguo y prueba puertos USB 2.0. Lanza el flasheo con M‑Flash y no lo interrumpas.
- Tras actualizar, en Windows abre msinfo32 y verifica Modo BIOS: UEFI y Estado de Arranque Seguro. PC Health Check deberá marcar el equipo como apto para Windows 11 (Secure Boot “capable” y TPM 2.0 detectado).
- Si Windows Update se atasca (caso de KB5034441 en muchos equipos), usa el Asistente de instalación de Windows 11 para actualizar sin depender de esa actualización previa.
Guía paso a paso
Preparación segura
- Haz copia de seguridad de datos importantes. Actualizar BIOS y migrar a Windows 11 suele conservarlos, pero es mejor prevenir.
- Anota el modelo exacto de la placa: MSI B550M PRO‑VDH (MS‑7C95).
- Comprueba que el disco del sistema está en GPT (clic derecho en Inicio → Administración de discos → en el disco del sistema, Propiedades → pestaña Volúmenes → Estilo de partición: GPT).
Actualiza la BIOS a una versión de 2024
- Descarga desde el soporte del fabricante la BIOS más reciente de 2024 o posterior para tu modelo exacto (MS‑7C95). Descomprime el ZIP localmente.
- Formatea un USB en FAT32. Copia solo el archivo de BIOS a la raíz del USB (sin carpetas).
- Entra en la UEFI, abre M‑Flash (menú de MSI) y selecciona el archivo del USB.
- No interrumpas el proceso. El PC se reiniciará solo varias veces. Al terminar, vuelve a la UEFI y carga los valores por defecto si el fabricante lo recomienda (Load Optimized Defaults).
Si la placa no detecta el USB al flashear
- FAT32 siempre. Evita exFAT/NTFS.
- Usa un USB 2.0 y prueba puertos traseros.
- Evita pendrives de gran capacidad. Modelos pequeños/antiguos son más compatibles con utilidades de flash exigentes.
- Coloca el archivo de BIOS en la raíz (nada de subcarpetas ni el ZIP completo).
- En placas con botón Flash BIOS externo, sigue exactamente el manual (en algunos modelos se renombra el archivo). En M‑Flash típico no hay que renombrar.
Ajustes recomendados de UEFI tras la actualización
- Desactiva CSM/Legacy y deja UEFI Only.
- Secure Boot: Enabled y Mode: Standard.
- Key Management → Restore/Enroll Factory Keys para cargar las claves de Microsoft de fábrica.
- Trusted Computing: Security Device Support = Enabled; TPM Device Selection = AMD CPU fTPM.
- Orden de arranque: Windows Boot Manager como primera opción.
Primer arranque de prueba
Con Secure Boot activado y claves de fábrica cargadas, guarda y reinicia. Si el sistema entra en Windows sin colgarse, el conflicto inicial ha quedado resuelto por la BIOS nueva y la cadena de confianza correcta.
Verificación en Windows
| Qué verificar | Cómo hacerlo | Resultado esperado |
|---|---|---|
| Modo de arranque | Inicio → ejecutar msinfo32 | Modo BIOS: UEFI |
| Secure Boot | En msinfo32 o PowerShell: Confirm-SecureBootUEFI | Estado de Arranque Seguro: Activado o True |
| TPM 2.0 | Ejecutar tpm.msc | Versión de especificación del TPM: 2.0 |
| fTPM activo | PowerShell: Get-TPM | TpmPresent : True y TpmReady : True |
| WinRE | CMD admin: reagentc /info | Estado de WinRE: Enabled |
# Comandos útiles (PowerShell como administrador)
Confirm-SecureBootUEFI
Get-TPM
Comprobar elegibilidad con PC Health Check
Tras la actualización, PC Health Check debe marcar el equipo como apto: TPM 2.0 detectado y Secure Boot “capable/activado”. Si aún no lo hace, repasa UEFI: desactiva CSM, restaura claves de fábrica y confirma que Windows Boot Manager es el primer dispositivo.
Actualizar a Windows 11 sin esperar a Windows Update
Si Windows Update no ofrece Windows 11 o se bloquea por la actualización de seguridad KB5034441 (muy común por el tamaño de la partición de recuperación), utiliza el Asistente de instalación de Windows 11. Este método:
- Valida requisitos (TPM 2.0 y Secure Boot) en el acto.
- Evita que la instalación dependa de que Windows Update quede “al día”.
- Conserva tus archivos y aplicaciones.
Pasos resumidos:
- Descarga y ejecuta el Asistente de instalación de Windows 11 desde el sitio oficial de Microsoft.
- Acepta el acuerdo y sigue el asistente hasta completar la instalación.
- El equipo se reiniciará varias veces. Al finalizar, verifica en Configuración → Sistema → Acerca de que ya estás en Windows 11.
Solución alternativa al bloqueo por KB5034441
La KB5034441 suele fallar por espacio insuficiente en la partición de recuperación (WinRE). Tienes dos opciones:
- Opción A (recomendada): usar el Asistente de instalación de Windows 11 y actualizar directamente.
- Opción B (avanzada): redimensionar o recrear la partición de recuperación para que la KB se instale por Windows Update.
Opción B: redimensionar/recrear WinRE (avanzado)
Advertencia: manipular particiones es delicado. Haz copia de seguridad. Los detalles (números de disco/partición) varían por equipo.
- Comprueba el estado de WinRE:
reagentc /info - Desactiva temporalmente WinRE:
reagentc /disable - Ajusta particiones con
diskpart(ejemplo orientativo):diskpart list disk select disk 0 list partition rem Selecciona la partición del SO (NTFS) y reduce ~1024 MB select partition <N_SO> shrink desired=1024 rem Si existe una partición WinRE pequeña al final, elimínala select partition \ delete partition override rem Crea una nueva partición de ~1024 MB create partition primary size=1024 format quick fs=ntfs label="WinRE" assign letter=R exitEn equipos GPT, para marcarla como partición de recuperación, vuelve adiskparty aplica el tipo e icono de atributos GPT (solo si dominas el proceso):diskpart select disk 0 select partition \ set id=de94bba4-06d1-4d40-a16a-bfd50179d6ac gpt attributes=0x8000000000000001 exit - Reactiva WinRE:
reagentc /enable reagentc /info
Una vez haya espacio, la KB5034441 dejará de fallar en la mayoría de equipos. Si no quieres tocar particiones, usa directamente el Asistente de Windows 11.
Checklist de diagnóstico rápido
| Ítem | Cómo | OK si |
|---|---|---|
| Disco del sistema en GPT | Administración de discos → Propiedades | Estilo de partición = GPT |
| CSM desactivado | UEFI → Boot | UEFI Only / CSM Off |
| Secure Boot activado | UEFI → Secure Boot | Enabled + Standard |
| Claves de fábrica | UEFI → Key Management | Factory Keys restauradas |
| fTPM/TPM 2.0 | UEFI → Security / Trusted Computing | Enabled + TPM 2.0 |
| Primer dispositivo de arranque | UEFI → Boot Priority | Windows Boot Manager |
| WinRE operativo | reagentc /info | Enabled |
Errores frecuentes y cómo evitarlos
- Actualizar la BIOS con CSM activo: desactívalo antes de probar Secure Boot; de lo contrario, la validación UEFI no aplica.
- No restaurar las claves de Secure Boot: habilitar Secure Boot sin claves válidas no sirve. Usa Restore/Enroll Factory Keys.
- USB moderno no reconocido por M‑Flash: usa FAT32, pendrive pequeño y puerto USB 2.0.
- Interrumpir el flasheo: podría dejar la placa inoperativa. Asegura alimentación estable.
- Arranque configurado a un disco equivocado: tras la BIOS nueva, reordena la prioridad y deja Windows Boot Manager primero.
- Conservar CSM “por si acaso”: en instalaciones UEFI + GPT, CSM solo estorba Secure Boot.
Preguntas frecuentes
¿Necesito un módulo TPM físico? No. En Ryzen 3000 y superiores, el fTPM integrado cumple con TPM 2.0 y es suficiente para Windows 11.
¿Perderé mis datos al actualizar BIOS o al pasar a Windows 11? La actualización de BIOS no afecta al disco. El Asistente de Windows 11 mantiene archivos y apps. Aun así, haz copia de seguridad.
Tras activar Secure Boot, el PC vuelve a colgarse. Revisa: BIOS de 2024 (o posterior), CSM desactivado, claves de fábrica restauradas, fTPM en TPM 2.0 y orden de arranque en Windows Boot Manager.
PC Health Check aún dice que no soy apto. Abre tpm.msc (debe poner TPM 2.0), msinfo32 (UEFI + Secure Boot activado/capaz) y comprueba que el Asistente de Windows 11 te deja continuar. Si Windows Update se atasca, no es necesariamente un problema de requisitos.
¿Es obligatorio formatear para pasar a Windows 11? No. Si cumples requisitos y el sistema está estable, puedes actualizar in‑place.
Por qué actualizar la BIOS resuelve el bloqueo
Las versiones de BIOS recientes integran:
- AGESA actual y microcódigo que mejora la inicialización en Ryzen, incluyendo la lógica de fTPM.
- Correcciones de Secure Boot y, en muchos casos, un paquete de claves PK/KEK/DB/DBX renovado o procedimientos de enrollment más robustos.
- Mejor compatibilidad con dispositivos USB en modo pre‑SO (vital para M‑Flash y para detectar medios FAT32 sin errores).
Con esa base, al activar Secure Boot la UEFI valida correctamente el gestor de arranque firmado de Windows y el sistema arranca sin bloqueos.
Notas específicas para MSI B550M PRO‑VDH (MS‑7C95)
- M‑Flash suele ser el método más estable para flashear en este modelo.
- En Settings → Advanced → Windows OS Configuration, establece UEFI y Secure Boot en Standard.
- En Security → Trusted Computing, habilita Security Device Support y selecciona AMD CPU fTPM.
- En Key Management, ejecuta Restore Factory Keys si vienes de “Other OS” o si las claves no están cargadas.
- En Boot, prioriza Windows Boot Manager. Si hay entradas heredadas, bórralas.
Apéndice de comandos útiles
PowerShell (administrador)
# Verificar Secure Boot
Confirm-SecureBootUEFI
Estado del TPM
Get-TPM CMD (administrador)
# Información del entorno de recuperación
reagentc /info
Habilitar/Deshabilitar WinRE
reagentc /disable
reagentc /enable Si el problema reaparece
- Reaplica Restore/Enroll Factory Keys (algunas UEFI lo requieren tras un Clear CMOS).
- Confirma que ningún dispositivo en modo Legacy esté antes que Windows Boot Manager.
- Verifica integridad del arranque con Inicio avanzado → Reparación de inicio o, en casos avanzados, con
sfc /scannowydism /online /cleanup-image /restorehealth. - Revisa el estado de WinRE si Windows Update persiste con errores (KB5034441).
Resumen práctico
- El bloqueo de arranque con Secure Boot en este equipo se debió a una BIOS antigua y/o claves no cargadas.
- Actualizar a una BIOS de 2024 + desactivar CSM + cargar claves de fábrica solucionó el arranque con Secure Boot activo.
- Windows reconoció TPM 2.0 y Secure Boot “capable”, habilitando la actualización a Windows 11.
- Si Windows Update se queda atascado (KB5034441), el Asistente de Windows 11 permite completar la migración sin borrar nada.
Resultado final: tras actualizar la BIOS y usar el Asistente de Windows 11, el equipo quedó reconocido como compatible, Secure Boot pasó a funcionar correctamente y la actualización se completó sin necesidad de reinstalar.