Qué pasa cuando caducan los certificados Secure Boot en junio y cómo prepararte

Trucoteca » Otros » Qué pasa cuando caducan los certificados Secure Boot en junio y cómo prepararte

Uno de los cambios de seguridad más relevantes en equipos con Windows 10 y Windows 11 está ya en marcha y tendrá una fecha clave: junio de 2026. A partir de ese momento, los certificados originales de Secure Boot que se usan desde 2011 comenzarán a caducar, lo que obligará a que PCs y portátiles cuenten con una nueva cadena de confianza si quieren seguir recibiendo ciertas protecciones críticas en el arranque.

Para la mayoría de usuarios domésticos en España y el resto de Europa, el proceso será casi invisible, pero es importante entender qué implica esta caducidad. Aunque el ordenador seguirá encendiendo y funcionando con normalidad, si no están presentes los certificados nuevos de 2023, el sistema pasará a lo que Microsoft denomina un “estado de seguridad degradada”, en el que ya no se aplicarán todas las mitigaciones futuras relacionadas con Secure Boot.

Qué es Secure Boot y por qué sus certificados caducan en 2026

Secure Boot, o arranque seguro UEFI, es una función de seguridad que llevan años incorporando la mayoría de PCs modernos. Su papel es comprobar, desde el mismo encendido del equipo, que solo se cargue software firmado y de confianza: firmware, bootloaders, controladores de arranque, etc. Esa comprobación se basa en una serie de certificados y claves criptográficas que el firmware UEFI y Windows utilizan para decidir qué se permite ejecutar.

El problema es que esos certificados no son eternos. Los primeros anclajes de confianza que Microsoft distribuyó para Secure Boot datan de 2011, coincidiendo con la llegada de Windows 8. Tenían una vida útil de unos 15 años y su ventana de caducidad comienza a finales de junio de 2026, con algunas fechas adicionales en los meses siguientes. Entre ellos se encuentran entradas como “Microsoft Corporation KEK CA 2011”, “Microsoft Corporation UEFI CA 2011” o “Microsoft Windows Production PCA 2011”, que son las que dan soporte a la cadena de arranque actual.

Por eso Microsoft ha decidido desplegar una nueva serie de certificados de la era 2023, que tomarán el relevo de los de 2011 y volverán a proporcionar un horizonte de protección de otros 15 años. Esta transición afecta a cualquier PC con Secure Boot activo, con especial peso en Windows 11 y los equipos de Windows 10 que sigan en una ruta de soporte (incluido el programa de Actualizaciones de Seguridad Extendidas, ESU).

Qué ocurre cuando caducan los certificados Secure Boot

Conviene dejar claro que la caducidad de los certificados no va a “matar” tu ordenador de la noche a la mañana. Cuando lleguen las fechas límite, el sistema seguirá arrancando y ejecutando Windows con normalidad, y también continuará recibiendo las actualizaciones estándar que no dependan de la nueva cadena de confianza. A efectos prácticos, podrás seguir utilizando el PC para trabajar, navegar o usar tus aplicaciones habituales.

El verdadero impacto está en la seguridad a medio y largo plazo. Un equipo que no reciba los certificados de 2023 entrará en ese estado de seguridad degradada del que habla Microsoft: seguirá funcionando, pero dejará de poder instalar nuevas mitigaciones de vulnerabilidades relacionadas con el arranque. Esto incluye parches para el Administrador de arranque de Windows (Boot Manager), actualizaciones de la base de datos de Secure Boot, nuevas listas de revocación y correcciones frente a ataques tipo bootkit o intentos de omitir BitLocker.

En la práctica, ese PC quedará cada vez más expuesto a ataques a nivel de firmware y prearranque, justo donde más difícil resulta detectar y eliminar el malware. Además, podrían aparecer problemas de compatibilidad con versiones futuras de sistemas operativos, firmware, hardware o software que dependa explícitamente de Secure Boot para funcionar o para mantener sus propios mecanismos de seguridad.

En el día a día, el usuario puede no notar nada al principio, pero con el tiempo el sistema se irá quedando sin las “capas extra” de protección que Microsoft y los fabricantes vayan incorporando. Y si hablamos de entornos profesionales o administrados, este escenario es especialmente delicado, porque dificulta mantener políticas de seguridad homogéneas en toda la flota.

Cómo se están renovando los certificados: Windows Update y firmware

Para minimizar riesgos, Microsoft ha empezado a desplegar la nueva cadena de certificados de Secure Boot de forma gradual desde 2024. A nivel de sistema, el cambio llega integrado en las actualizaciones de seguridad mensuales de Windows Update. Boletines como la KB5036210 ya incorporan la capacidad de añadir el certificado “Windows UEFI CA 2023” a la base de datos de firmas (db) del arranque seguro UEFI, requisito necesario para seguir recibiendo futuras actualizaciones del cargador de arranque.

Según la propia compañía, “la mayoría de dispositivos Windows personales” deberían recibir estos certificados de sustitución automáticamente a través de Windows Update, siempre que el equipo siga en una ruta de soporte y tenga Secure Boot activado. Esto incluye tanto PCs con Windows 11 como equipos con Windows 10 que estén acogidos al programa de soporte extendido ESU tras el fin de soporte general del 14 de octubre de 2025.

Sin embargo, el lado de Windows es solo la mitad de la película. Para que la actualización sea completa, el firmware UEFI del equipo tiene que estar preparado para aceptar y conservar las nuevas entradas de 2023. Microsoft avisa de que algunos dispositivos necesitarán una actualización de BIOS o firmware específica del fabricante (OEM), porque hay escenarios en los que Windows puede intentar aplicar el nuevo certificado pero el firmware no lo guarda correctamente o lo pierde en determinadas operaciones.

Fabricantes como Dell, HP o Lenovo han publicado ya documentación donde explican que están trabajando junto a Microsoft para añadir los certificados de 2023 a las bases de datos de arranque seguro predeterminadas de sus equipos. En muchos casos, esto llega empaquetado en una actualización de BIOS que actualiza el conjunto de claves de fábrica, de manera que un restablecimiento del firmware o ciertos cambios en las opciones de seguridad no eliminen las entradas nuevas.

El papel de los OEM y los problemas en equipos antiguos o montados por el usuario

Detrás de esta transición hay bastante “letra pequeña” de firmware que, aunque normalmente pasa desapercibida, ahora cobra importancia. Algunos fabricantes distinguen entre la base de datos de Secure Boot activa (la que el sistema utiliza realmente al arrancar y que Windows Update modifica) y la base de datos predeterminada o de fábrica, que es la que se actualiza cuando flasheamos una BIOS nueva o restauramos las claves por defecto.

Si la base de datos activa se actualiza con las claves de 2023 pero la predeterminada no, ciertas acciones de la BIOS —como entrar en modo de gestión avanzada de claves, restaurar ajustes de seguridad o “instalar claves por defecto”— pueden borrar esas entradas nuevas y dejar solo las antiguas de 2011. De ahí que los OEM estén lanzando firmware que actualiza también el almacén predeterminado, evitando que un simple cambio de configuración devuelva al sistema a un estado incompatible con las futuras mitigaciones.

Los equipos recién salidos de fábrica lo tienen algo más fácil. Algunos fabricantes han optado por una “estrategia de doble certificado”, enviando desde finales de 2024 plataformas que incluyen tanto certificados de 2011 como de 2023 en su firmware. Esto permite una transición más suave, ya que el sistema puede ir adoptando las claves nuevas sin perder compatibilidad con componentes que sigan firmados con las antiguas mientras dura el periodo de solapamiento.

En el lado contrario están los PCs más antiguos o los montados por el propio usuario (DIY), muy habituales entre aficionados y jugadores. En placas base de gama entusiasta, el fabricante puede requerir que el usuario entre en el menú UEFI, actualice a la última versión de BIOS y, a veces, ejecute manualmente opciones como “Instalar claves de arranque seguro predeterminadas” o “Restaurar claves de fábrica” para que las nuevas entradas de 2023 queden correctamente activadas.

En guías de soporte, proveedores como ASUS detallan incluso los pasos para comprobar, desde la propia BIOS, que existen entradas como “Microsoft Corporation KEK 2K CA 2023” en el almacén de KEK y “Windows UEFI CA 2023” en la base de datos permitida (db). Si no aparecen, tocará revisar si hay firmware más reciente disponible y aplicarlo antes de confiar en que Windows Update haga el resto.

Cómo afecta a usuarios de Windows 10 y Windows 11 en España

A día de hoy, Windows 11 ya ha superado a Windows 10 en cuota de mercado global, con cifras que rondan el 63% para Windows 11 y alrededor del 35% para Windows 10, impulsadas en parte por el anuncio del fin de soporte de este último. En España y el resto de Europa la situación es similar: muchos usuarios han dado el salto a Windows 11, mientras otros se aferran a Windows 10 con versiones LTSC o suscripciones ESU para seguir recibiendo parches.

Para quienes ya utilizan Windows 11 en un PC relativamente moderno, lo normal es que no tengan que hacer nada especial más allá de mantener el sistema actualizado y el arranque seguro activado. Las actualizaciones mensuales de seguridad de Windows Update van incorporando la nueva cadena de certificados, de modo que, si el firmware coopera, el equipo queda listo para superar la caducidad de 2026 sin sobresaltos.

Los usuarios de Windows 10 que se queden fuera de soporte (por ejemplo, quienes no contraten ESU y permanezcan en versiones sin mantenimiento) tienen una limitación importante: los equipos en versiones de Windows no compatibles no reciben nuevas actualizaciones. Eso significa que, sin ruta de servicio activa, tampoco podrán beneficiarse plenamente de la renovación de certificados de Secure Boot, con el consiguiente aumento de exposición con el paso del tiempo.

En entornos corporativos y administraciones públicas europeas, el tema tiene aún más derivadas. Microsoft ha publicado un “libro de jugadas” específico para responsables de TI donde explica cómo inventariar los dispositivos afectados, supervisar la correcta aplicación de los certificados 2023 (incluidos los IDs de evento 1808 y 1801 en el registro de sucesos) y coordinar la implantación mediante Intune, directiva de grupo y métodos basados en el registro.

En todos los casos, la recomendación es evitar desactivar Secure Boot como atajo. Aunque pueda parecer una solución sencilla para esquivar incompatibilidades puntuales, Microsoft insiste en que no es una opción recomendable, porque elimina de un plumazo la capa de protección que se intenta reforzar con toda esta transición.

Comprobar y actualizar los certificados Secure Boot en tu PC

En muchos ordenadores vendidos a partir de 2024, especialmente portátiles y sobremesas de marca, los fabricantes ya incluyen los certificados nuevos de 2023 desde fábrica, así que el usuario no tiene que preocuparse. El foco está en los equipos anteriores a 2024, ya sean OEM o montados pieza a pieza, que dependen de las actualizaciones de Windows y del firmware para ponerse al día.

Si mantienes tu Windows 10 ESU o Windows 11 actualizado, lo más probable es que las actualizaciones de seguridad mensuales ya estén ocupándose de añadir la nueva cadena de confianza al arranque seguro. Aun así, es posible comprobar el estado del certificado desde el propio sistema. Por ejemplo, en algunos manuales se propone usar PowerShell, con permisos de administrador, para verificar si la base de datos de firmas de Secure Boot incluye ya la entrada “Windows UEFI CA 2023”.

En caso de que la comprobación indique que sigues dependiendo únicamente de los certificados de 2011, hay varias acciones recomendadas. La primera es asegurarse de que Secure Boot esté activado en la BIOS o UEFI del equipo, algo que puedes revisar ejecutando “msinfo32” en Windows y comprobando el estado de arranque seguro. Sin esa función habilitada, los mecanismos de actualización de certificados no se aplican correctamente.

A partir de ahí, lo razonable es forzar la búsqueda de actualizaciones en Windows Update y aplicar tanto las acumulativas del sistema como aquellas que vengan etiquetadas como de firmware o de seguridad para el hardware. Si, incluso así, el certificado no aparece, algunas guías proponen ajustar determinadas claves de registro desde PowerShell para indicar al sistema que hay una actualización de Secure Boot disponible, siempre con la precaución debida y, en el ámbito corporativo, siguiendo las recomendaciones oficiales de Microsoft.

Cuando se trate de equipos de marca, resulta clave visitar la página oficial del fabricante (Dell, HP, Lenovo, etc.) y buscar si existe una versión de BIOS o firmware específica relacionada con la actualización de Secure Boot o con la incorporación de certificados 2023. Muchas veces, el propio aviso del fabricante menciona explícitamente que la caducidad de los certificados puede impedir que el sistema reciba futuras actualizaciones de seguridad del gestor de arranque, recalcando la importancia de aplicar el parche.

Impacto en seguridad, juegos y aplicaciones que exigen Secure Boot

Más allá de la teoría, Secure Boot ya no es solo un requisito técnico de Windows 11: se ha convertido en una condición obligatoria para ciertos juegos y aplicaciones que quieren asegurarse de que el entorno de arranque no esté manipulado. Títulos con sistemas antitrampas agresivos, como Battlefield 6, Call of Duty: Black Ops 7 o ARC Raiders, requieren que el modo de arranque seguro esté activado para poder ejecutarse.

Si el equipo tiene Secure Boot desactivado, o si los certificados están caducados y el sistema no puede aplicar determinadas verificaciones, el usuario puede encontrarse con mensajes de error al iniciar juegos o con la imposibilidad directa de jugarlos. En ese contexto, mantener el PC al día no es solo una cuestión de seguridad, sino también de compatibilidad con parte del catálogo de ocio y productividad actual.

Desde el punto de vista de las amenazas, la principal ventaja de contar con certificados renovados es que el equipo podrá seguir recibiendo mitigaciones frente a nuevas vulnerabilidades de arranque que vayan descubriéndose de aquí en adelante. Sin ellos, el sistema se queda congelado en el estado de protección de 2011, mientras que los atacantes continúan desarrollando técnicas más sofisticadas para infiltrarse en el firmware o cargar código malicioso antes incluso de que Windows haya empezado a arrancar.

También entra en juego la interacción con herramientas como BitLocker. Algunas guías de fabricantes mencionan que ciertos cambios en el firmware y en las claves de Secure Boot pueden disparar procesos de recuperación de BitLocker, de ahí que se recomiende tener a buen recaudo las claves de recuperación antes de actualizar BIOS o realizar modificaciones importantes en la configuración UEFI.

En conjunto, la caducidad de los certificados de 2011 no implica que los PCs vayan a dejar de funcionar, pero sí marca un punto de inflexión: quienes se mantengan en la senda de actualizaciones de Windows y firmware podrán seguir beneficiándose de mejoras de seguridad durante años, mientras que los que no lo hagan verán cómo su protección en el arranque se queda atrás frente a un panorama de amenazas que no deja de evolucionar.

Todo este movimiento en torno a los certificados de Secure Boot viene a recordar que, aunque el usuario solo vea ventanas de Windows Update y reinicios de vez en cuando, por debajo se está renovando la cadena de confianza que permite arrancar el PC con garantías. Mantener el sistema operativo soportado, revisar las actualizaciones de BIOS de tu fabricante y evitar desactivar el arranque seguro son ahora pasos clave para llegar a junio de 2026 sin sustos y con el equipo preparado para los próximos años.