Los certificados Secure Boot caducarán en junio: qué cambia y cómo prepararte

MundoWin » General » Los certificados Secure Boot caducarán en junio: qué cambia y cómo prepararte

Los certificados originales de Secure Boot que usan muchos PC desde 2011 tienen fecha de caducidad y el calendario ya está marcado: las primeras expiraciones llegan a finales de junio de 2026 y se extenderán durante ese mismo año. Esto afecta directamente a equipos con Windows 10 y Windows 11, incluidos los que se utilizan en España y el resto de Europa, tanto en hogares como en empresas.

Aunque pueda sonar alarmante, los ordenadores no dejarán de encenderse cuando caduquen esos certificados, pero sí pueden perder parte de las defensas de seguridad en la fase más crítica del sistema: el arranque. Por eso Microsoft y los grandes fabricantes de hardware han puesto en marcha un plan para renovar las claves por unas más modernas y robustas, con una vigencia estimada de otros 15 años.

Qué es Secure Boot y por qué sus certificados tienen fecha de caducidad

Secure Boot (Arranque seguro) es una función de seguridad integrada en el firmware UEFI que comprueba, nada más encender el PC, que solo se cargue software firmado y de confianza. Es decir, evita que se cuelen bootkits, malware o componentes manipulados incluso antes de que arranque Windows.

Para hacer estas comprobaciones, el sistema se basa en una cadena de certificados digitales y claves criptográficas que se almacenan en la UEFI. Entre ellos están las autoridades de certificación (CA) de Microsoft y otras entradas que indican qué cargadores de arranque, módulos de firmware o controladores son de fiar.

El problema es que la primera generación de certificados de Microsoft para Secure Boot se emitió en 2011, coincidiendo con la era de Windows 8 y Windows Server 2012. Estos certificados se diseñaron con una validez larga, de unos 15 años, que se agota entre junio y octubre de 2026.

De acuerdo con la documentación técnica de Microsoft y las guías de fabricantes como Dell, las primeras expiraciones llegan el 24 y el 27 de junio de 2026, seguidas de otra fecha clave el 19 de octubre de 2026. A nivel práctico, eso implica que cualquier PC que siga dependiendo solo de esas claves antiguas se quedará sin poder recibir nuevas medidas de protección en el arranque.

En el ámbito doméstico, muchos usuarios ni siquiera son conscientes de que esta cadena de certificados existe, pero es uno de los pilares silenciosos de la seguridad en Windows 10 y Windows 11. Por eso la caducidad se está tratando como una actualización de “cambio de generación” en la cadena de confianza.

Qué pasará cuando caduquen los certificados Secure Boot de 2011

Microsoft ha sido bastante clara en sus avisos: los equipos seguirán arrancando con normalidad aunque los certificados antiguos expiren. No se espera que el PC deje de encenderse de un día para otro, ni que Windows se vuelva inusable por ello.

El cambio importante está en la parte que no se ve. Los sistemas que no hayan hecho la transición a la nueva cadena de certificados 2023 ya no podrán recibir ciertas actualizaciones críticas relacionadas con:

• El gestor de arranque de Windows (Windows Boot Manager).
• Las bases de datos de claves permitidas y revocadas de Secure Boot.
• Las correcciones para vulnerabilidades que afecten a la cadena de arranque.
• Mitigaciones frente a ataques que intenten saltarse protecciones como BitLocker.

Esto es lo que Microsoft describe como un “estado de seguridad degradado”: el PC funciona, Windows se actualiza en lo general, pero las defensas en la fase de arranque dejan de mejorar con el tiempo. A medida que se descubran nuevas vulnerabilidades en ese nivel tan bajo, el equipo quedará más expuesto.

Además, pueden aparecer problemas de compatibilidad con software futuro. La propia Microsoft advierte de que sistemas operativos más recientes, cierto hardware, firmware o programas que dependan estrictamente de Secure Boot podrían negarse a arrancar si no reconocen la cadena de confianza antigua.

En contextos profesionales, como empresas, administraciones o centros educativos europeos, esta degradación de seguridad es especialmente sensible, ya que el arranque seguro suele ser una de las capas que se exigen en políticas de cumplimiento y protección de datos.

Cómo está desplegando Microsoft los nuevos certificados de Secure Boot

Para evitar que el problema estalle de golpe en 2026, Microsoft ha empezado a desplegar la nueva cadena de certificados 2023 con bastante antelación. De hecho, parte de la infraestructura ya está incluida en actualizaciones acumulativas desde febrero de 2024.

Las notas de versiones de Windows 11, como la actualización KB5036210, explican que Windows ya es capaz de añadir el certificado “Windows UEFI CA 2023” a la base de datos de firmas permitidas (db) del arranque seguro UEFI. Esta actualización es obligatoria para que futuras versiones del cargador de arranque se puedan instalar correctamente.

Posteriormente, Microsoft ha ido ampliando los avisos, por ejemplo en boletines como KB5074109 o KB5079373, donde detalla qué implica la caducidad y recalca que la mayoría de dispositivos recibirán los certificados nuevos de forma automática. Aun así, insiste en que algunos modelos concretos pueden necesitar una actualización adicional de BIOS o firmware del fabricante.

En paralelo, la compañía ha publicado guías específicas para profesionales de TI y organizaciones, describiendo cómo inventariar el estado de los certificados, supervisar los eventos de sistema (IDs como 1808 y 1801) y planificar el despliegue escalonado mediante herramientas como Intune, directivas de grupo o scripts basados en el registro de Windows.

Todo este movimiento apunta a que la parte de Windows es solo una mitad de la ecuación. La otra mitad depende de que el firmware UEFI de cada equipo esté preparado para aceptar, almacenar y conservar correctamente las nuevas claves 2023.

El papel clave del firmware y los fabricantes: Dell, HP, Lenovo, ASUS y otros

Los grandes fabricantes de PC y placas base ya han empezado a detallar sus propios planes. Empresas como Dell, HP, Lenovo o ASUS han publicado guías explicando cómo se integrarán los nuevos certificados en sus equipos y qué debe vigilar el usuario.

Dell, por ejemplo, distingue entre dos bases de datos de arranque seguro: la base activa (la que aplica el sistema en cada arranque) y la base predeterminada (la que viene de fábrica y suele actualizarse al flashear la BIOS). determinadas acciones en la UEFI, como entrar en “modo experto de claves”, pueden borrar la base activa si la predeterminada no está al día con los certificados 2023.

En su documentación, Dell habla incluso de una “estrategia de doble certificado”: desde finales de 2024 ha estado enviando plataformas que incorporan tanto las claves 2011 como las 2023, ampliando después este enfoque a equipos de mantenimiento que salían de fábrica a finales de 2025. De esta forma, el usuario tiene un margen de transición más amplio.

Lenovo, por su parte, plantea la corrección como una actualización de BIOS que añade los certificados 2023 al almacén predeterminado. En algunos modelos comerciales se requieren pasos adicionales para activar las nuevas entradas, y la compañía avisa de que ciertos cambios en firmware pueden forzar la recuperación de BitLocker, por lo que conviene tener las claves de recuperación a buen recaudo.

HP también ha confirmado que lleva tiempo trabajando con Microsoft para preparar sus equipos con Secure Boot habilitado, advirtiendo de que la caducidad de los certificados podría impedir la instalación de actualizaciones de seguridad ligadas al arranque seguro y al gestor de arranque de Windows, lo que incrementaría el riesgo frente a amenazas tipo bootkit.

Placas base para gaming y PC montados: donde más trabajo manual puede haber

El escenario se complica un poco para quienes tienen PC de sobremesa montados por piezas, algo muy habitual entre jugadores en España y el resto de Europa. En estos casos, es frecuente usar placas base de fabricantes como ASUS, MSI, Gigabyte u otros, donde la configuración de Secure Boot puede haberse tocado manualmente.

ASUS es uno de los proveedores que ha publicado una guía detallada y paso a paso para este cambio de certificados. En sus FAQ de soporte explica cómo entrar en la gestión de claves UEFI Secure Boot y verificar que:

• En KEK aparezca “Microsoft Corporation KEK 2K CA 2023”.
• En la base de datos db figure “Windows UEFI CA 2023” junto con otras entradas de la era 2023.

Si estas entradas no aparecen, la propia ASUS detalla acciones de reparación como “instalar claves de arranque seguro por defecto” o “restaurar claves de fábrica” tras actualizar la BIOS. Básicamente, se trata de repoblar las bases de datos activas a partir del almacén predeterminado del firmware.

Esta situación ilustra bien el problema de los sistemas DIY: aunque Windows entregue las nuevas claves mediante Windows Update, la placa base puede requerir que el usuario entre en la UEFI y realice estos pasos manuales para que los certificados 2023 queden plenamente activos.

En la práctica, esto significa que muchos aficionados que han ido trasteando con opciones de arranque seguro, sobre todo para instalar sistemas antiguos o ajustar configuraciones de juegos, deberán revisar sus ajustes antes de junio de 2026 para evitar quedarse con un arranque seguro a medias.

Cómo saber si tu PC ya tiene los certificados nuevos

Microsoft y distintos medios especializados han ido compartiendo métodos para que los usuarios más avanzados comprueben el estado de los certificados Secure Boot directamente desde Windows.

En ciertos equipos es posible verificarlo con PowerShell, ejecutando la siguiente instrucción con permisos de administrador:

(::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Si la orden devuelve True, significa que el sistema ya cuenta con el certificado “Windows UEFI CA 2023” en la base de datos del arranque seguro, por lo que el PC está preparado para seguir recibiendo las futuras actualizaciones relacionadas con Secure Boot. Si la respuesta es False, todavía se depende de las claves antiguas de 2011.

En caso de que no aparezcan los certificados nuevos, se recomienda primero asegurarse de que la opción de Secure Boot está activada en la UEFI (puede comprobarse desde el comando msinfo32 en Windows) y luego buscar actualizaciones en Windows Update. En muchos equipos, la recepción de las últimas acumulativas bastará para añadir las nuevas claves.

Actualizar Secure Boot en Windows 10 y Windows 11: qué debe hacer cada tipo de usuario

Para la mayoría de usuarios corrientes, sobre todo en portátiles y sobremesas comprados en tiendas europeas, la transición a los certificados 2023 será prácticamente transparente. Aun así, conviene tener claras algunas situaciones típicas:

Si compraste un ordenador nuevo a partir de 2024, lo normal es que el equipo ya incluya de fábrica la nueva cadena de certificados. En muchos casos, los fabricantes han desplegado configuraciones con claves 2011 y 2023 a la vez, de modo que el cambio de una a otra se haga sin sobresaltos.

Si tu PC es de antes de 2024 pero mantienes Windows al día, lo habitual es que las nuevas claves te lleguen mediante las actualizaciones de seguridad mensuales de Windows Update. En este caso, lo fundamental es no bloquear ni posponer las actualizaciones de forma indefinida y asegurarte de que Secure Boot no está desactivado sin motivo.

Para algunos modelos concretos, Microsoft reconoce que podría hacer falta instalar una actualización de firmware o BIOS específica. Si Windows no logra aplicar correctamente los certificados 2023, lo más prudente es visitar la web del fabricante (Dell, HP, Lenovo, etc.) y buscar si existe una BIOS o firmware reciente que mencione mejoras en Secure Boot o compatibilidad con los nuevos certificados.

En entornos corporativos o administrados, Microsoft ha publicado un “playbook” de Secure Boot para equipos gestionados por TI, con instrucciones para auditar el despliegue, monitorizar los eventos relevantes del sistema y asegurarse de que todos los dispositivos en producción se encuentran en un estado “actualizado” antes del plazo de junio de 2026.

Qué pasa con Windows 10 y las versiones sin soporte

El asunto de los certificados también añade presión a quienes todavía se resisten a dejar Windows 10. Según la propia Microsoft, el soporte general de Windows 10 terminó el 14 de octubre de 2025, y las actualizaciones de seguridad extendidas (ESU) se convierten en la única vía oficial de seguir recibiendo parches más allá de esa fecha.

La guía de Secure Boot deja claro que los dispositivos con versiones de Windows fuera de soporte no reciben ya actualizaciones, lo que significa que tampoco obtendrán las nuevas cadenas de certificados desde Windows Update. En la práctica, esto deja el arranque seguro “congelado” en un estado cada vez más vulnerable.

Para usuarios y organizaciones europeas que sigan en Windows 10, hay tres opciones principales: migrar a Windows 11 en hardware compatible, contratar ESU en el caso de empresas que necesiten alargar un poco más la vida de sus equipos o plantearse alternativas como Linux en escenarios concretos.

En cualquier caso, el vínculo entre tener un sistema soportado y mantener un Secure Boot plenamente funcional es cada vez más directo. Dejar pasar el fin de soporte sin un plan puede acabar limitando tanto las mejoras de seguridad como la compatibilidad futura con software y hardware.

Secure Boot, videojuegos y apps que ya lo exigen

Más allá de la seguridad pura y dura, Secure Boot se está convirtiendo en un requisito técnico para ciertos juegos y aplicaciones. Títulos con sistemas antitrampas avanzados ya verifican si el arranque seguro está activo antes de permitir jugar.

Se ha hablado de juegos como Battlefield 6, Call of Duty: Black Ops 7 o ARC Raiders, entre otros, que utilizan Secure Boot como parte de sus sistemas de protección. Si el arranque seguro está deshabilitado, o su cadena de confianza no cumple los requisitos esperados, el juego puede negarse a iniciarse.

Esto significa que un Secure Boot desactualizado puede acabar provocando problemas que el usuario perciba como “fallos de juegos”, cuando en realidad el origen está en la caducidad de certificados o en una configuración de firmware poco cuidada. Por eso es importante comprobar que el Secure Boot está activo y actualizado antes de jugar.

De ahí que Microsoft recomiende expresamente no desactivar Secure Boot salvo que sea imprescindible y, en caso de hacerlo para pruebas o instalaciones puntuales, volver a activarlo y actualizarlo cuanto antes. A medio plazo, es razonable esperar que más títulos y programas se apoyen en esta capa para mejorar la integridad del sistema.

Riesgos de ignorar la actualización: malware de arranque y brechas de seguridad

Puede parecer que, si el PC arranca y todo “funciona como siempre”, no hay nada de lo que preocuparse. Pero, según Microsoft, esa sensación puede ser engañosa. El arranque es una de las fases más sensibles de un sistema y, si se descuida, se abre la puerta a ataques especialmente difíciles de detectar.

Con certificados caducados, las nuevas vulnerabilidades de firmware o de la cadena de arranque no se podrán mitigar mediante parches. Con el tiempo, esta falta de actualizaciones se traduce en una brecha cada vez mayor respecto a las amenazas reales que circulan por la red.

Entre los riesgos más serios están los bootkits y malware que se cargan antes que el propio sistema operativo, ocultándose de muchas soluciones antivirus tradicionales. También se debilitan las protecciones ligadas a tecnologías como BitLocker, que confían en la integridad de la fase de arranque para garantizar que el cifrado no haya sido manipulado.

En última instancia, no renovar los certificados de Secure Boot no rompe el PC de inmediato, pero sí suma una capa de riesgo innecesaria, algo especialmente delicado para empresas, profesionales que manejan datos sensibles o cualquier usuario que quiera mantener un mínimo de protección razonable.

La caducidad de los certificados Secure Boot a partir de junio de 2026 no va a provocar un apagón repentino de ordenadores, pero sí marca un punto de inflexión silencioso en la seguridad de millones de PCs en España y en toda Europa: quien mantenga Secure Boot activado, Windows y el firmware al día seguirá contando con una cadena de confianza moderna y soportada durante muchos años, mientras que quienes ignoren estas actualizaciones irán quedándose poco a poco en un terreno de seguridad degradada, con más exposición a vulnerabilidades en el arranque, menos compatibilidad con nuevo software y más quebraderos de cabeza en el futuro.