La actualización acumulativa KB5058379, lanzada por Microsoft el 13 de mayo de 2025 como parte del Patch Tuesday, ha generado inconvenientes en algunos equipos con Windows 10. Usuarios han reportado que, tras instalar esta actualización y reiniciar el sistema, sus dispositivos arrancan directamente en el Entorno de Recuperación de Windows (WinRE), solicitando la clave de recuperación de BitLocker, incluso sin cambios previos en la configuración del cifrado del disco .
BitLocker es una función de seguridad de Windows que cifra los datos del disco para protegerlos contra accesos no autorizados. Normalmente, solicita la clave de recuperación cuando detecta cambios en el hardware o en la configuración del sistema que podrían indicar una posible amenaza. Sin embargo, en este caso, la actualización KB5058379 parece estar activando esta solicitud de forma inesperada.
La actualización corrige múltiples vulnerabilidades, incluidas cinco de tipo zero-day, y modifica componentes relacionados con el arranque seguro y la medición de integridad del sistema. En ciertos equipos, especialmente modelos de Lenovo, Dell y HP, estas modificaciones pueden alterar los valores que el Módulo de Plataforma Segura (TPM) utiliza para verificar la integridad del sistema al inicio. Si estas verificaciones no coinciden con las esperadas, BitLocker interpreta que el disco pudo haber sido manipulado y solicita la clave de recuperación .
Aunque no todos los dispositivos se ven afectados, los informes indican que los problemas son más comunes en equipos con procesadores Intel de décima generación o posteriores que tienen habilitada la tecnología Intel Trusted Execution Technology (TXT). Estos sistemas, al instalar la actualización, pueden experimentar fallos en el proceso de inicio, llevando al sistema a intentar una reparación automática que, a su vez, activa la solicitud de la clave de recuperación de BitLocker
Para mitigar este problema, se sugieren las siguientes acciones:
Localizar y guardar la clave de recuperación de BitLocker: Antes de instalar la actualización, asegúrese de tener acceso a su clave de recuperación. Esta puede encontrarse en su cuenta de Microsoft, en una impresión física o en un archivo guardado previamente.
Desactivar Intel TXT en la BIOS: Algunos administradores han encontrado que desactivar la tecnología Intel Trusted Execution Technology (TXT) en la BIOS permite que Windows arranque normalmente. Sin embargo, esta medida reduce el nivel de seguridad del equipo y debe considerarse solo como una solución temporal.
Evitar desactivar otras funciones de seguridad: Desactivar opciones como Secure Boot o las funciones de virtualización (VT-x/VT-d) también puede permitir el arranque, pero estas acciones disminuyen la seguridad del sistema y deben evitarse si es posible.
Validar cambios en entornos de prueba: Si administra múltiples equipos, pruebe estas soluciones en un entorno controlado antes de implementarlas en producción.
Microsoft está al tanto de este problema y ha confirmado que está investigando los informes relacionados con la actualización KB5058379. Mientras tanto, es crucial que los usuarios y administradores de sistemas tomen precauciones antes de instalar la actualización, asegurándose de tener acceso a las claves de recuperación de BitLocker y considerando las posibles implicaciones de desactivar ciertas funciones de seguridad.
