Los certificados de arranque seguro de Windows empiezan a caducar el 24 de junio

Los certificados Secure Boot de la era 2011 que respaldan la seguridad de arranque en la mayoría de los PC con Windows empiezan a caducar el 24 de junio, dentro de un mes. Los dispositivos sin los certificados de sustitución de 2023 no dejarán de funcionar, pero perderán la capacidad de recibir futuros parches de seguridad de arranque. Los usuarios de Windows 11 en builds soportados están siendo actualizados automáticamente, aunque el hardware más antiguo y las máquinas sin soporte de Windows 10 se enfrentan a un camino más difícil.

Qué caduca y cuándo

Tres certificados están llegando a sus fechas finales: el Microsoft Corporation KEK CA 2011 el 24 de junio, el Microsoft UEFI CA 2011 el 27 de junio y el Microsoft Windows Production PCA 2011 el 19 de octubre. Este último firma el propio cargador de arranque de Windows, lo que convierte a octubre en la fecha límite más crítica para la integridad del arranque a largo plazo. Microsoft comenzó a desplegar los certificados de sustitución 2023 a través de Windows Update en enero y ha adelantado el despliegue con cada actualización mensual, incluida la KB5089549 de este mes.

Qué ocurre después del 24 de junio

Su PC no dejará de arrancar. Microsoft afirma que los dispositivos con certificados caducados seguirán arrancando con normalidad y recibirán las actualizaciones estándar de Windows https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e. Lo que pierden es la capacidad de recibir nuevas actualizaciones de la base de datos de arranque seguro, listas de revocación de certificados y parches para las vulnerabilidades de la capa de arranque descubiertas recientemente. Los exploits de la capa de arranque como BlackLotus se han dirigido específicamente a esta capa. Un dispositivo con certificados caducados no tiene una vía de parcheo contra futuras amenazas a nivel de firmware.

Cómo comprobar su dispositivo

Abra Seguridad de Windows, seleccione Seguridad del dispositivo y compruebe la sección Arranque seguro. El artículo de soporte KB5062710 de Microsoft https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e explica el significado de la caducidad y los pasos a seguir si no se ha aplicado la actualización. Los usuarios de Windows 10 que estén fuera del programa de actualizaciones de seguridad ampliadas no recibirán los nuevos certificados y no dispondrán de ninguna vía de solución a partir del 24 de junio.

Dispositivos que pueden no recibir la corrección

Algunos equipos más antiguos requieren una actualización de firmware OEM correspondiente junto con el despliegue de certificados de Windows, ya que la nueva cadena de certificados debe anclarse directamente en el firmware UEFI. Los dispositivos de fabricantes que han dejado de emitir actualizaciones de firmware pueden permanecer con los certificados de 2011 independientemente de lo que instale Windows. La orientación de Microsoft es aplicar la última actualización, verificar el estado mediante KB5062710 y ponerse en contacto con el servicio de asistencia del fabricante si los certificados 2023 no aparecen en un sistema totalmente actualizado.