Vencimiento del Certificado de Arranque Seguro: Lo Que Necesitas Saber

Microsoft ha lanzado la actualización del certificado Secure Boot 2023 para todas las PC elegibles con Windows 11 y Windows 10, apenas unas horas antes de la fecha límite inicial de vencimiento el 24 de junio de 2026. Según un comunicado de Microsoft, “Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de alta confianza para la selección de dispositivos, aumentando la cobertura de dispositivos elegibles para recibir automáticamente nuevos certificados de Secure Boot. Los dispositivos reciben los nuevos certificados solo después de demostrar señales suficientes de actualizaciones exitosas, manteniendo un despliegue controlado y por fases.”

Si tu PC recibió la actualización de Patch Tuesday de junio de 2026, es probable que los certificados Secure Boot 2023 ya estén instalados en tu dispositivo. A continuación, encontrarás todo lo que necesitas saber sobre cómo verificar el estado de tu certificado y solucionar posibles problemas.

¿Qué es la Actualización del Certificado de Secure Boot?

Secure Boot es una función de seguridad a nivel de firmware que verifica la firma digital de cada componente de arranque para bloquear rootkits y bootkits de infiltrarse en la cadena de inicio. Los certificados que respaldan este sistema fueron emitidos en 2011, con sus fechas de vencimiento como se indica a continuación:

• Microsoft Corporation KEK CA 2011: 24 de junio de 2026
• Microsoft UEFI CA 2011: 27 de junio de 2026
• Microsoft Windows Production PCA 2011: 19 de octubre de 2026

Para garantizar que Secure Boot continúe funcionando más allá de estas fechas, Microsoft ha estado implementando certificados de reemplazo de 2023 a través de Windows Update desde 2024. La actualización de junio de 2026 amplió significativamente el grupo de dispositivos elegibles, moviendo la mayoría de las PC compatibles a la categoría de “alta confianza”, donde las actualizaciones se aplican de manera automática y segura.

Cómo Comprobar si Tu PC Tiene los Certificados Secure Boot 2023

La forma más rápida de verificar el estado de tu certificado Secure Boot es a través de la aplicación de Seguridad de Windows, una función añadida en la actualización de abril de 2026 de Windows 11. Sigue estos pasos:

1. Abre la aplicación de Seguridad de Windows.
2. Haz clic en Seguridad del Dispositivo en el menú de la izquierda.
3. Desplázate hasta la sección Secure Boot para ver tu estado.

Verás uno de los siguientes indicadores de estado:

• Marca de verificación verde: Indica que se han aplicado todas las actualizaciones de certificados requeridas y no se requiere ninguna acción.
• Advertencia amarilla: Indica que la actualización está pendiente. Es posible que se necesiten datos de compatibilidad o una actualización del BIOS por parte del fabricante de tu PC antes de que se puedan instalar los certificados.
• Alerta roja: Indica un problema específico que bloquea la actualización, generalmente debido a incompatibilidad del firmware. Consulta la página de soporte del fabricante de tu PC para obtener una actualización del BIOS.

Si falta la sección de Secure Boot, es probable que Secure Boot esté deshabilitado o que tu PC se haya instalado utilizando un bypass de registro en hardware no compatible. Para pasos detallados en PC más antiguas y no compatibles, consulta nuestra guía de verificación de Secure Boot.

¿Qué Hacer si Tu PC No Recibió la Actualización de Secure Boot?

La falta de la actualización del certificado Secure Boot 2023 no significa que tu PC dejará de funcionar. Microsoft ha confirmado que los dispositivos sin los certificados actualizados seguirán iniciando normalmente y recibiendo actualizaciones regulares de Windows. Sin embargo, estos dispositivos ya no recibirán futuras actualizaciones de seguridad a nivel de arranque, lo que podría exponerlos a vulnerabilidades como el bootkit BlackLotus con el tiempo.

Para hardware moderno, la actualización se aplica automáticamente. Si tu PC muestra una advertencia amarilla, espera al próximo ciclo de actualizaciones de Windows. Microsoft continúa ampliando la cobertura de dispositivos con cada actualización mensual. Para hardware más antiguo donde los fabricantes han cesado el soporte, es posible que no se puedan obtener los certificados de 2023. En tales casos, verificar una actualización del BIOS es el primer paso antes de considerar intervenciones manuales.

Tu PC Puede Reiniciarse Dos Veces Después de las Actualizaciones

Es normal que las PC se reinicien dos o tres veces durante el proceso de actualización del certificado Secure Boot. Microsoft ha confirmado que este comportamiento es esperado debido al proceso de varios pasos que implica:

1. Escribir nuevos certificados en el firmware.
2. Aplicar el gestor de arranque actualizado.
3. Iniciar Windows con la cadena de Secure Boot actualizada.

Además, puede aparecer una nueva carpeta en C:\Windows\SecureBoot. Esto no es malware; se utiliza por Windows para almacenar archivos de certificados criptográficos antes de escribirlos en el firmware. No elimines esta carpeta.

Usuarios de Windows 10 También Reciben Actualizaciones de Secure Boot

A pesar de que Windows 10 ha llegado al final de su ciclo de vida, las actualizaciones de Secure Boot se han puesto a disposición de los usuarios inscritos en el programa de Actualizaciones de Seguridad Extendida (ESU). Desde la actualización de mayo de 2026 (KB5087544), los usuarios de Windows 10 comenzaron a recibir informes de estado de Secure Boot. Sin embargo, los usuarios no inscritos en el programa ESU no recibirán estas actualizaciones a través de Windows Update.

Cambiar a ESU requiere una transición de una cuenta local a una cuenta de Microsoft. Para los usuarios de Windows 11, la actualización de junio de 2026 presenta el mayor despliegue hasta ahora de certificados Secure Boot.

Para Administradores de TI: Detalles Clave Sobre la Fecha Límite del 24 de Junio

A partir del 24 de junio de 2026, Microsoft Corporation KEK CA 2011 ya no podrá firmar nuevas cargas de revocación de Secure Boot (actualizaciones DBX) con la clave antigua. Sin embargo, las cargas firmadas existentes y los métodos de implementación manual seguirán funcionando. La clave DB seguirá siendo válida hasta el 19 de octubre de 2026, lo que permitirá a Microsoft firmar nuevos gestores de arranque hasta entonces.

Microsoft ha realizado sesiones AMA con ingenieros para abordar las inquietudes de los administradores de TI, incluidos los niveles de confianza de los dispositivos, el monitoreo con Intune, los escenarios de arranque PXE y las advertencias para máquinas virtuales. Para la gestión de flotas empresariales, aka.ms/GetSecureBoot sigue siendo el recurso principal.

Los dispositivos en el nivel de pausa requieren una actualización del BIOS por parte del OEM antes de aplicar la actualización de Secure Boot. Forzar la actualización sin una actualización del firmware no se recomienda y puede provocar fallos de arranque o activar la recuperación de BitLocker.

Windows Latest depende de lectores como tú. Considera convertirnos en tu fuente preferida en Google Discover y Google Search para apoyar nuestro periodismo independiente.