Notebookcheck Logo

Llega el martes de parches del 9 de junio y se acerca la fecha límite para Secure Boot

El campus de Microsoft en Redmond, Washington, donde los equipos se preparan para la puesta en marcha del martes de parches del 9 de junio.
ⓘ Microsoft.com
El campus de Microsoft en Redmond, Washington, donde los equipos se preparan para la puesta en marcha del martes de parches del 9 de junio.
El martes de parches de Microsoft del 9 de junio es la última ventana de despliegue antes de que los certificados Secure Boot de 2011 comiencen a caducar el 24 de junio. Los dispositivos no parcheados pierden la protección de seguridad.
Windows Software Security Microsoft Launch Hack / Data Breach

Faltan pocos días para el martes de parches del 9 de junio de Microsoft, y tiene más peso que cualquier actualización mensual rutinaria. Se trata de la última ventana de despliegue estructurada antes de que los certificados Secure Boot de la era 2011 empiecen a caducar el 24 de junio, dejando cualquier dispositivo sin parchear en un estado de seguridad de arranque degradado a partir de esa fecha.

La ventana de expiración de certificados se extiende del 24 al 27 de junio. El Microsoft Corporation KEK CA 2011 expira el 24 de junio, el Microsoft UEFI CA 2011 expira el 27 de junio, y el Microsoft Windows Production PCA 2011 le sigue en octubre. Los dispositivos que no hayan recibido los certificados de sustitución 2023 antes del 24 de junio no dejarán de funcionar, pero perderán la capacidad de recibir futuras protecciones de seguridad a nivel de arranque, incluidas las actualizaciones del Administrador de arranque de Windows, Secure Boot revocation y correcciones para las vulnerabilidades de la cadena de arranque descubiertas recientemente.

Por qué el 9 de junio no es una actualización rutinaria

Microsoft ha estado desplegando los certificados de sustitución 2023 desde febrero de 2026 a través de actualizaciones acumulativas, con el Martes de parches del 12 de mayo adelantó aún más ese despliegue. Las organizaciones que retrasaron el despliegue de mayo se enfrentan ahora a una ventana comprimida. La brecha entre el 9 de junio y la fecha de caducidad del 24 de junio es de 15 días. Para los equipos empresariales que gestionan grandes flotas de dispositivos, esa no es una pista de aterrizaje cómoda.

Los analistas de seguridad han señalado claramente la presión. La decisión de aplazar el despliegue de mayo a junio ha reducido la ventana disponible en más de un 60 por ciento. Cualquier organización que asuma que el 9 de junio restablece un calendario de despliegue normal se equivoca. El 9 de junio es un triaje de emergencia para los equipos que se perdieron mayo.

Qué hacer antes del 9 de junio e inmediatamente después

Antes del 9 de junio, los administradores de TI deben ejecutar el siguiente comando PowerShell de https://support.microsoft.com/en-us/topic/registry-key-updates-for-secure-boot-windows-devices-with-it-managed-updates-a7be69c9-4634-42e1-9ca1-df06f43f360d con privilegios de administrador para comprobar el estado del certificado en cualquier dispositivo en cuestión: Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlSecureBootServicing" -Name UEFICA2023Status

El resultado esperado para una migración impulsada por el SO es "Completado" Crucialmente, un estado "NotStarted" no es un fallo automático; a menudo indica que el dispositivo ya es seguro porque el OEM ha inyectado los certificados 2023 de forma nativa a través de una actualización reciente de la BIOS. Las verdaderas banderas rojas que hay que buscar son un estado de "Fallido" o códigos hexadecimales poblados en la clave adyacente UEFICA2023Error. Cualquier cosa que alcance esos estados de fallo después del despliegue del 9 de junio requiere una remediación manual inmediata.

Los dispositivos que ejecutan Windows Server 2025 con determinadas configuraciones de directiva de grupo de BitLocker requieren una precaución adicional. El fallo de arranque a recuperación de BitLocker se originó en el ciclo de actualización de abril de 2026. La actualización de mayo lo resolvió para Windows 11, pero la corrección para Windows Server 2025 sigue pendiente, y el comportamiento es volátil en algunas configuraciones. Los entornos Server 2025 deberían completar un despliegue de prueba antes de desplegar las actualizaciones del 9 de junio en toda la flota.

También se espera que el 9 de junio solucione las vulnerabilidades descubiertas desde la versión del 12 de mayo, incluidas las que hayan entrado en explotación activa en las semanas entre ciclos. El Fallo Netlogon CVE-2026-41089señalada como explotada activamente por el Centro de Ciberseguridad de Bélgica el 29 de mayo, ya está parcheada a través de la actualización de mayo. Los dispositivos que no hayan aplicado esa corrección deberán tratar el 9 de junio como una implantación de doble prioridad.

El plazo de octubre es el siguiente

Completar la Transición del certificado Secure Boot antes del 24 de junio cierra la ventana más urgente, pero no es el final del proceso. El certificado Microsoft Windows Production PCA 2011, que firma el propio cargador de arranque de Windows, expira en octubre de 2026. Se trata de la expiración más importante desde el punto de vista estructural de las tres y la que conlleva un mayor riesgo de integridad del arranque a largo plazo para los dispositivos que no la reciban.

El lanzamiento del parche del 9 de junio está previsto para las 10:00 AM PST.

Google LogoAdd as a preferred source on Google
Mail Logo

Artículos relacionados

> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 06 > Llega el martes de parches del 9 de junio y se acerca la fecha límite para Secure Boot
Darryl Linington, 2026-06- 4 (Update: 2026-06- 4)