La actualización acumulativa KB5058379 para Windows 10, liberada por Microsoft el pasado 13 de mayo como parte del Patch Tuesday de este mes, está generando inconvenientes para algunos usuarios. Tras la instalación y el reinicio del sistema, un número creciente de informes señala que los equipos inician directamente en el Entorno de Recuperación de Windows (WinRE), solicitando la clave de BitLocker, incluso cuando no se han realizado modificaciones intencionadas en el cifrado del disco.

La actualización KB5058379 aborda un total de 72 vulnerabilidades de seguridad, incluyendo cinco consideradas de día cero. Además, introduce cambios en módulos críticos relacionados con el arranque seguro y la medición de la integridad del sistema. Se ha observado que en ciertos modelos de equipos, incluyendo los de fabricantes como Lenovo, Dell y HP, la actualización altera los valores que el TPM (Trusted Platform Module) utiliza para la verificación durante el inicio. Si esta verificación falla, BitLocker interpreta esta discrepancia como una posible manipulación del disco, lo que resulta en la solicitud de la clave de recuperación.

Factores que detonan el problema

Administradores de sistemas han descubierto que la desactivación de la tecnología Intel Trusted Execution Technology (TXT) en la BIOS, o alternativamente, la desactivación de Secure Boot y las funciones de virtualización (VT-x/VT-d), permite que Windows arranque normalmente en los equipos afectados. Sin embargo, es crucial destacar que estas modificaciones disminuyen el nivel de seguridad del sistema y no representan una solución definitiva. Más bien, deben considerarse medidas temporales para casos específicos. Se recomienda explorar otras alternativas, como introducir la clave de recuperación y permitir que BitLocker actualice sus mediciones. Aunque Microsoft aún no ha emitido un reconocimiento oficial del problema, su equipo de soporte ha confirmado que se encuentra bajo investigación.

Recomendaciones:

• Localiza y guarda tu clave de recuperación de BitLocker antes de proceder con la instalación de la actualización.
• Como primer paso, intenta desactivar únicamente Intel TXT. Recurre a la desactivación de Secure Boot y la virtualización solo como último recurso.
• Si gestionas un conjunto de equipos, es fundamental validar las actualizaciones en un entorno de laboratorio antes de implementarlas en producción.

Más información:

• Abrams, L. «Windows 10 KB5058379 update triggers BitLocker recovery on some devices». BleepingComputer. https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5058379-update-triggering-bitlocker-recovery-after-install/
• Patch Tuesday Megathread (2025-05-13). https://www.reddit.com/r/sysadmin/comments/1klcpkl/comment/ms7rei0/
• May 13 -KB5058379 Windows 10 leads to corruption and endpoints asking for bitlocker key,.- Any known issues? https://answers.microsoft.com/en-us/windows/forum/all/may-13-kb5058379-windows-10-leads-to-corruption/58b3b179-70a0-4bd8-abae-c9b89dd9c9b9