Cuando hablamos de protección de la infraestructura, solemos pensar en antivirus, segmentación de red y registro de eventos. Pero si un atacante actúa en la primera etapa —el arranque del equipo—, las herramientas habituales llegan tarde. Por eso las empresas cada vez incorporan un eslabón adicional de seguridad: soluciones de arranque confiable. Empiezan a funcionar antes que todo lo demás, justo después de encender la alimentación, y no permiten que el sistema arranque si algo no está bien. A continuación hay una explicación sencilla de cómo funcionan y qué ofrecen hoy los proveedores rusos.
Qué es SDZ y por qué son necesarios
Las soluciones de arranque confiable (SDZ) son soluciones hardware-software que verifican la inmutabilidad de los componentes críticos antes del inicio del sistema operativo, bloquean el arranque desde medios no autorizados y exigen autenticación antes de que aparezca el escritorio. La idea clave es simple: crear un punto de confianza anterior al sistema operativo para impedir rootkits y cargadores modificados. En la nueva arquitectura de PC esto suele implementarse en el entorno UEFI: un módulo se integra en el BIOS, actúa en las primeras fases de inicialización y controla que sólo se ejecute lo autorizado.
Desde el punto de vista regulatorio, la referencia son los perfiles de protección de FSTEK para SDZ, donde se describen los requisitos por clases y niveles de servicio. En la práctica, son esos documentos los que determinan qué podrá adquirir una organización y cómo certificar el entorno.
Cómo funciona en una máquina real
El escenario es así. Justo después de ejecutar el código del BIOS del sistema, el control lo toma el módulo de arranque confiable, hace una autoverificación, compara sumas de control del BIOS/UEFI y de los componentes del sistema, comprueba la integridad de las áreas de arranque y solo entonces permite continuar. El usuario se autentica antes del SO (contraseña, token, tarjeta inteligente, MFA), y la política define desde qué medios está permitido arrancar. Ante discrepancias, se detiene el arranque y se registra un evento. Este procedimiento reduce el riesgo de ejecutar un sistema manipulado y cierra la ventana para controladores maliciosos que actúan en las fases tempranas.
Productos rusos
Accord-AMDZ de OKB SAPR — un módulo hardware-software que arranca antes del SO y soporta un amplio conjunto de sistemas de archivos: desde FAT/NTFS y Ext2/Ext4 hasta ReiserFS, UFS e incluso QNX/Solaris UFS. Para muchas infraestructuras es un detalle importante: el controlador funciona con misma confianza con distintas ramas de distribuciones y servidores. Según información pública, la familia cuenta con certificados de FSTEK y FSB con distintos vigencias, incluidos los números 4299 (FSTEK) y SF/527-5115, SF/527-4775, SF/527-4428 (FSB).
PAK "Sobol" de Kod Bezopasnosti — una solución para entornos de oficina típicos: se despliega rápidamente, controla la integridad a nivel de sistemas de archivos y bloquea variantes de arranque no estándar. En 2024 la versión 4.3 obtuvo el certificado FSB (SF/527-4880) de clase de protección II y clase de servicio B, lo que facilita las compras y la confirmación de cumplimiento.
SDZ Dallas Lock — una línea hardware-software con variantes a nivel BIOS/UEFI y tarjeta de expansión: permite el trabajo solo a usuarios autorizados, bloquea el arranque de SO no autorizados e se integra con otros productos de la familia para una política unificada. El proveedor destaca además la compatibilidad con modos para proteger información confidencial hasta la categoría "totalmente secreta".
ViPNet SafeBoot de InfoTeKS — módulo software que se integra en UEFI y proporciona autorización antes del arranque, control de integridad del BIOS y de los componentes del SO, así como protección contra arranques no autorizados. Estado reciente: el módulo ViPNet SafeBoot 3 (versión 3.2) tiene certificado FSB vigente hasta el 1 de octubre de 2034; anteriormente también se informó de la prórroga del certificado de FSTEK hasta noviembre de 2025. Para grandes empresas esto resuelve dudas sobre el ciclo de vida prolongado y el cumplimiento.
- Si su plataforma es mixta y usa sistemas de archivos poco comunes, conviene considerar Accord-AMDZ por su extensa lista de FS compatibles.
- Para un inicio rápido en un entorno de oficina, "Sobol" es adecuado: instalación clara y certificados actualizados.
- Si necesita una política unificada con otras soluciones de seguridad, tenga en cuenta Dallas Lock — ofrece opciones a nivel BIOS y con tarjetas de expansión.
- Para entornos orientados a plataformas UEFI y con ciclos largos de certificación, ViPNet SafeBoot (certificado FSB hasta 2034) es una opción sólida.
Y por último, un consejo práctico sobre la elección. No busque el "universal ideal". Describa qué medios están permitidos, qué credenciales necesitan los usuarios al inicio, si hay sistemas de archivos poco comunes y cómo registrará los eventos en la fase anterior al SO. Verifique los certificados y sus vigencias: en despliegues grandes esto es crítico. Solo después compare interfaces y facilidad de administración. Ese orden ahorrará semanas en un piloto y ayudará a reunir una pila que realmente proteja el perímetro desde el primer pulso de alimentación.
