Windows Secure Boot 2026: Microsoft emite una última advertencia sobre los certificados que caducan

Microsoft ya ha comenzado a desplegar la cadena de certificados de Secure Boot de sustitución que Windows necesitará una vez que los certificados originales de 2011 comiencen a caducar en junio de 2026. Notebookcheck cubrió recientemente la advertencia de Microsoft y las señales de despliegue anticipado que aparecen en las actualizaciones acumulativas recientes, pero la siguiente fase tiene menos que ver con Windows y más con la preparación del firmware.

Si el firmware UEFI de su PC no está preparado para aceptar y conservar los nuevos certificados 2023, Windows Update puede intentar el traspaso y aun así dejar el dispositivo atascado en lo que Microsoft describe como un estado de seguridad degradado, en el que las futuras actualizaciones de seguridad relacionadas con el arranque podrían no aplicarse limpiamente.

¿Qué es lo que realmente caduca, y cuándo?

Los anclajes de confianza de Microsoft Secure Boot de Microsoft desde 2011 empiezan a expirar a finales de junio de 2026, con expiraciones adicionales más adelante en 2026. El desglose de Dell es uno de los calendarios públicos más claros, enumerando la primera fecha de caducidad del certificado de 2011 como el 24 de junio de 2026 (Microsoft Corporation KEK CA 2011), seguido del 27 de junio de 2026 (Microsoft Corporation UEFI CA 2011), y otro certificado clave que expira el 19 de octubre de 2026 (Microsoft Windows Production PCA 2011).

En la práctica, varios proveedores se hacen eco de la misma conclusión: se espera que los sistemas sigan arrancando, pero los dispositivos que no realicen la transición a la cadena de certificados de la era de 2023 pueden perder la capacidad de recibir futuras actualizaciones del cargador de arranque y de Secure Boot, que es de donde procede la expresión "seguridad degradada".

La parte de Microsoft: Windows puede ofrecer la nueva cadena de confianza, pero sólo si el firmware coopera

El habilitador técnico clave ya se encuentra en las compilaciones de Windows compatibles. La KB5036210 de Microsoft señala que las actualizaciones de Windows publicadas a partir del 13 de febrero de 2024 incluyen la capacidad de aplicar el certificado CA 2023 de Windows UEFI a la base de datos de firmas (db) permitidas del arranque seguro UEFI, y que la actualización de la db es necesaria para recibir futuras actualizaciones del cargador de arranque a través de actualizaciones mensuales.

Microsoft también afirma que "la mayoría de los dispositivos Windows personales" deberían recibir los nuevos certificados automáticamente a través de las actualizaciones gestionadas por Microsoft, pero advierte explícitamente de que algunos dispositivos pueden requerir una actualización del firmware del OEM para aplicar los nuevos certificados correctamente.

Dónde entran los OEM: Claves activas frente a claves por defecto, y por qué los reinicios pueden morderle

Aquí es donde la política de firmware del proveedor importa más de lo que la mayoría de los usuarios domésticos se dan cuenta. Las preguntas frecuentes sobre la transición al arranque seguro de Dell distinguen entre la base de datos de arranque seguro activa (lo que el sistema aplica realmente en el arranque y lo que Windows Update modifica habitualmente) y la base de datos de arranque seguro predeterminada (el conjunto de restablecimiento de fábrica, que suele actualizarse mediante el flasheo de la BIOS). Dell también advierte de que ciertas acciones del firmware, como activar el "Modo de llave experta", pueden borrar las variables activas procedentes de Windows Update si la base de datos Predeterminada no se ha actualizado adecuadamente.

Ese mismo documento de Dell también describe una "estrategia de doble certificado", afirmando que Dell comenzó a enviar tanto certificados 2011 como 2023 en las plataformas recién lanzadas a finales de 2024 y amplió ese enfoque a las plataformas de mantenimiento que salían de fábrica a finales de 2025.

La propia guía de Lenovo para PC comerciales enmarca de forma similar la corrección como una actualización de la BIOS que añade los certificados 2023 a las variables predeterminadas de Secure Boot, con pasos adicionales a veces necesarios para activar las variables 2023 en sistemas que no están ya preconfigurados. También señala la recuperación de BitLocker como un efecto secundario potencial, razón por la cual hacer copias de seguridad de las claves de recuperación antes de los cambios de firmware sigue siendo una buena práctica.

El aviso de HP afirma asimismo que ha estado trabajando con Microsoft para preparar los productos HP habilitados para Secure Boot para los nuevos certificados y advierte de que la caducidad de los certificados puede impedir que los sistemas reciban actualizaciones de seguridad relacionadas con Secure Boot y el Administrador de arranque de Windows, lo que aumenta la exposición a amenazas del tipo bootkit.

El problema del bricolaje y las placas base para juegos: a veces hay que "instalar claves por defecto" uno mismo

ASUS es uno de los pocos proveedores de cara al consumidor que ha publicado una guía muy procedimentada, paso a paso, para esta transición, que incluye cómo confirmar que las nuevas entradas 2023 están presentes en el firmware y qué hacer si no lo están.

En su support FAQaSUS describe cómo navegar a través de la gestión de claves UEFI Secure Boot y verificar que KEK incluye "Microsoft Corporation KEK 2K CA 2023", y que el db incluye "Windows UEFI CA 2023" (junto con otras entradas de Microsoft de la era 2023). También documenta pasos de reparación como "Instalar claves de arranque seguro predeterminadas" o "Restaurar claves de fábrica" después de actualizar la BIOS, lo que efectivamente repobla las bases de datos de claves desde el almacén predeterminado del firmware.

Esta es la laguna que suele afectar más a los sistemas DIY: Windows puede ofrecer actualizaciones, pero el firmware de la placa base aún puede requerir una intervención manual antes de que las nuevas claves estén totalmente presentes y activas.

Cómo comprobar la disponibilidad mediante las señales oficiales de Microsoft

Para las flotas gestionadas por TI, el libro de jugadas de Microsoft Secure Boot esboza indicadores concretos que puede supervisar.

Microsoft afirma que un despliegue correcto puede confirmarse auditando las entradas del registro de eventos del sistema de Windows para el ID de evento 1808, y que los fallos en la aplicación de los certificados actualizados se asocian con el ID de evento 1801. El mismo libro de jugadas también hace referencia a la UEFICA2023Status que, en última instancia, debería ser "Actualizado", y señala que no debería existir una clave UEFICA2023Error a menos que haya un error pendiente.

El libro de jugadas también recomienda explícitamente aplicar actualizaciones de firmware OEM antes de las actualizaciones de Windows relacionadas con Secure Boot si su organización ha identificado problemas o su OEM recomienda una actualización de la BIOS, lo que refuerza el tema general: el lado de Windows es sólo la mitad de la historia.

El caso extremo del "zombi" de Windows 10 sigue siendo real

Por último, la actualización de certificados es otro punto de presión para los holdouts de Windows 10. La propia documentación de soporte de Microsoft afirma que el soporte de Windows 10 finalizó el 14 de octubre de 2025, y Microsoft posiciona las Actualizaciones de seguridad ampliadas (ESU) de Windows 10 como la vía de pago para seguir recibiendo actualizaciones de seguridad después de esa fecha.

La guía de Secure Boot de Microsoft también reitera que los dispositivos en versiones de Windows no compatibles no reciben actualizaciones de Windows, por lo que el Secure Boot está efectivamente ligado a permanecer en una ruta de servicio compatible (o ESU para Windows 10, en su caso).