Microsoft está reemplazando los certificados de Secure Boot en los que muchos PC con Windows confían desde 2011. Dos de esas antiguas autoridades de certificación empiezan a caducar en junio de 2026, y el certificado de arranque de Windows sigue en octubre de 2026.

Eso suena como un temporizador pegado a cada PC. No es exactamente así. Microsoft dice que un estado de certificado no compatible no debería hacer que un PC normal deje de arrancar al instante el 1 de junio de 2026. El riesgo más realista es más silencioso, pero importante: un PC que no reciba la actualización de certificados de 2023 puede dejar de ser apto para futuras protecciones tempranas de arranque, actualizaciones de seguridad del Boot Manager, revocaciones y cambios en medios de recuperación.

La respuesta correcta no es entrar en pánico. Es comprobar ahora, actualizar con cuidado y no romper tu propia ruta de recuperación.

Respuesta rápida

Haz esto primero

Instala actualizaciones de Windows, reinicia y revisa Seguridad de Windows

La mayoría de dispositivos Windows domésticos compatibles deberían recibir los certificados Secure Boot de 2023 mediante Windows Update. Después de actualizar, abre Seguridad de Windows > Seguridad del dispositivo > Secure Boot y lee el texto de estado, no solo el color del icono.

PC doméstico
Normalmente actualizar y verificarMantén Windows al día, reinicia cuando se pida y revisa la pantalla de estado de certificados Secure Boot.
PC de trabajo
No lo corrijas por tu cuentaSi el dispositivo lo administra tu empresa o escuela, deja que TI controle el despliegue.
Oficina pequeña
Inventario antes de forzar nadaGuarda claves de BitLocker, actualiza firmware, pilota por modelo y monitoriza estados/eventos de Microsoft.
Hardware viejo
El firmware importaSi el fabricante nunca añadió soporte de certificados 2023, Windows quizá no pueda arreglarlo solo.

No desactives Secure Boot como “solución”. No restablezcas claves de Secure Boot ni fuerces revocaciones salvo que sepas exactamente por qué y tengas medios de recuperación que sigan arrancando.

¿Mi PC dejará de funcionar en junio de 2026?

Para la mayoría de PC compatibles con Windows 10/11 y Windows 11, la respuesta debería ser no. Microsoft describe la caducidad de certificados de 2026 como una transición de seguridad y servicio, no como una fecha universal de fallo de arranque.

El riesgo depende de qué necesite hacer el PC después de que caduquen los certificados antiguos:

Riesgo bajo

PC Windows 11 compatible que recibe Windows Update normalmente, tiene firmware reciente, Secure Boot activado y Seguridad de Windows dice que todas las actualizaciones de certificados necesarias están aplicadas.

Necesita atención

PC que no se reinicia desde hace meses, tiene BIOS/UEFI antiguo, usa BitLocker, depende de medios USB de recuperación viejos o muestra estado amarillo/rojo de certificados Secure Boot.

Riesgo alto

Flotas administradas, sobremesas personalizados antiguos, Windows 10 no compatible, entornos PXE/WinPE, arranque dual, máquinas virtuales o equipos cuyo firmware OEM no puede aceptar la confianza de 2023.

La versión engañosa es “los PC Windows quedarán inutilizados cuando caduquen los certificados”. La versión útil es: tu PC puede seguir arrancando, pero la cadena de confianza temprana debe pasar de certificados 2011 a certificados 2023 si quieres que la protección futura de Secure Boot siga funcionando.

Publicidad

Revisa tu PC en 5 minutos

Empieza con comprobaciones seguras. No cambian bases de datos de Secure Boot, claves de firmware ni estado de BitLocker.

1. Instala actualizaciones de Windows y reinicia

Abre Configuración > Windows Update, instala actualizaciones de seguridad/acumulativas disponibles y reinicia cuando se indique. Microsoft entrega la actualización de certificados Secure Boot mediante mantenimiento normal en muchos dispositivos compatibles.

Si sueles posponer reinicios, este es uno de esos casos en los que posponer puede ocultar el estado real. Varios pasos requieren reinicio antes de que aparezca el siguiente estado.

Es el mismo principio básico de mantenimiento que usamos en higiene digital: mantener al día la ruta de confianza antes de necesitarla. Si estás refrescando todo tu entorno, aplica la misma disciplina a contraseñas, actualizaciones, firmware del router y copias de seguridad.

2. Abre la pantalla de estado de Secure Boot

Abre Seguridad de Windows, luego Seguridad del dispositivo y después Secure Boot.

Busca el texto del mensaje. Microsoft advierte que un icono verde por sí solo no basta; el estado completamente actualizado necesita texto que indique que las actualizaciones de certificado requeridas y el Boot Manager actualizado se han aplicado.

Si Seguridad de Windows dice que hay actualizaciones pendientes, instala Windows Update y reinicia de nuevo. Si dice que el dispositivo necesita firmware o acción del fabricante, ve a la página de soporte del fabricante antes de intentar arreglos de registro.

3. Confirma que Secure Boot está activado

Pulsa Win + R, escribe msinfo32 y abre Información del sistema.

Revisa estás filas:

CampoLo que quieresQué significa
Modo de BIOSUEFISecure Boot depende del arranque UEFI, no de BIOS heredado.
Estado de Secure BootActivadoSecure Boot está habilitado actualmente.
Configuración PCR7Normalmente Binding Possible o BoundContexto útil para cifrado/BitLocker, pero no comprueba por sí solo todos los certificados.

Esta pantalla confirma el estado de Secure Boot. No prueba que todos los certificados 2023 estén instalados.

4. Comprobación PowerShell opcional

Abre PowerShell como administrador y ejecuta:

Confirm-SecureBootUEFI

True significa que Secure Boot está activado. False significa que está desactivado. Un error suele significar que el comando no puede leer Secure Boot UEFI en esa plataforma.

Es útil, pero no es toda la historia. La preparación de certificados se comprueba mejor con el estado de Seguridad de Windows, valores de administración de Microsoft y registros de eventos.

¿Qué ruta encaja contigo?

PC doméstico Windows 11
Actualizar, reiniciar, verificarUsa Windows Update y Seguridad de Windows. Actualiza BIOS/UEFI desde el OEM solo si Windows o el OEM dice que hace falta firmware.
PC Windows 10
Comprueba soporte primeroWindows 10 llegó al fin de soporte el 14 de octubre de 2025 salvo inscripción en Extended Security Updates. Sistemas no compatibles son mala base para depender del futuro mantenimiento de Secure Boot.
Máquina Windows 7
Trátalo como riesgo heredadoNo esperes que la actualización de certificados Secure Boot 2026 la rescate. Planifica migración, aislamiento o reemplazo con soporte.
Portátil de empresa o escuela
Pregunta a TI antes de cambiar clavesEquipos gestionados pueden ocultar notificaciones por política y usar despliegues escalonados.
Sobremesa personalizado
Revisa notas BIOS de la placaBusca lenguaje UEFI/Secure Boot/Windows UEFI CA 2023 en notas de BIOS de ASUS, MSI, Gigabyte, ASRock o el proveedor.
Arranque dual o Linux
Actualiza ambos ladosMantén Windows, firmware y paquetes boot/shim de tu distribución Linux al día. No revoques ampliamente confianza antigua hasta saber que tu ruta no Windows está lista.
Flota de oficina pequeña
Pilota por grupo de hardwareGuarda claves de BitLocker, inventaria firmware, prueba modelos representativos, despliega y monitoriza eventos.

¿Qué está caducando realmente?

Secure Boot es un sistema de confianza a nivel de firmware. Antes de que Windows arranque, el firmware UEFI comprueba si los componentes tempranos de arranque están firmados por autoridades confiables. Esas bases de confianza viven en firmware/NVRAM, no solo en una carpeta de Windows.

Mapa simplificado:

Diagrama que muestra firmware UEFI usando KEK, DB y DBX para verificar Windows Boot Manager antes del inicio.
Secure Boot es una cadena de decisiones de confianza de firmware, no solo un ajuste de Windows.

Los certificados antiguos de 2011 se reemplazan por certificados 2023:

PropositoCertificado antiguoReemplazoPresion de caducidad
Autoriza actualizaciones de base de datos Secure BootMicrosoft Corporation KEK CA 2011Microsoft Corporation KEK 2K CA 2023Junio de 2026
Confía en Windows Boot ManagerMicrosoft Windows Production PCA 2011Windows UEFI CA 2023Octubre de 2026
Confía en apps/cargadores UEFI de tercerosMicrosoft UEFI CA 2011Microsoft UEFI CA 2023Junio de 2026
Confía en option ROMs, como componentes de arranque de firmware de algunos dispositivosMicrosoft UEFI CA 2011Microsoft Option ROM UEFI CA 2023Junio de 2026

La estructura 2023 es más granular. En vez de una antigua UEFI CA cubriendo varias tareas, Microsoft separa con más claridad la confianza de arranque de Windows, apps EFI de terceros y option ROM.

Publicidad

Por qué BlackLotus y KB5025885 aparecen tanto

Veras dos historias relacionadas mezcladas:

  1. La actualización de certificados 2026. Antiguas autoridades de certificado Secure Boot caducan, así que los PC necesitan la cadena de confianza 2023.
  2. Endurecimiento CVE-2023-24932 / BlackLotus. Microsoft también prepara revocaciones y cambios de Boot Manager para bloquear bootloaders vulnerables firmados usados por bootkits.

Están conectadas porque ambas tocan bases de confianza Secure Boot y firmas de Boot Manager. No son la misma tarea.

La diferencia práctica importa. Comprobar certificados 2023 es sensato para usuarios domésticos. Forzar revocaciones DBX o mitigaciones empresariales por registro sin preparación puede romper medios WinRE, WinPE, PXE, USB de instalación antiguos o arranque dual. Microsoft documenta el proceso de revocación de CVE-2023-24932 por separado, y el calendario de aplicación permanente debe tratarse como controlado por Microsoft, no adivinado.

¿Qué no hacer?

No desactives Secure Boot y lo llames solución

Eso oculta el problema de estado y debilita la protección temprana de arranque.

No restablezcas claves de Secure Boot casualmente

Algunos firmware antiguos pueden no incluir certificados 2023 por defecto. Restablecer claves después de que Windows cambie a un Boot Manager firmado en 2023 puede crear un problema de arranque.

No fuerces revocaciones primero en una flota de producción

WinRE, WinPE, PXE, USBs de instalación y cargadores de arranque dual antiguos pueden fallar si aún dependen de componentes firmados en 2011 que sean revocados.

No ignores BitLocker

Guarda claves de recuperación antes de trabajar con firmware o Secure Boot. Si un cambio dispara recuperación, no quieres descubrir que falta la clave.

BitLocker, medios de recuperación e instaladores USB

BitLocker y Secure Boot están estrechamente relacionados. Eso es bueno para seguridad, pero significa que cambios de firmware y confianza de arranque pueden activar una solicitud de recuperación.

Antes de cambiar BIOS/UEFI, restablecer claves Secure Boot o aplicar mantenimiento de Secure Boot dirigido por administración, guarda la clave de recuperación de BitLocker. En muchos PC Windows 11, la ruta es Configuración > Privacidad y seguridad > Cifrado de dispositivo > Cifrado de unidad BitLocker.

O inicia sesión en la página de claves de recuperación de tu cuenta Microsoft si así almacena la clave tu dispositivo.

Para oficinas pequeñas, exporta y valida claves de recuperación antes del piloto, no después del primer reinicio.

Los medios de recuperación son la otra trampa. Un USB de instalación de Windows, imagen WinRE, memoria WinPE o imagen PXE creado antes de la transición de Boot Manager 2023 puede no arrancar después de aplicar ciertas revocaciones. Los admins deben reconstruir o actualizar medios de recuperación con herramientas actuales de Windows antes de un despliegue amplio. Usuarios domésticos deberían recrear medios de recuperación/instalación con herramientas actuales de Microsoft en vez de conservar un USB viejo como única salida.

Firmware OEM: cuando importa el fabricante

Windows Update puede entregar mucho, pero las bases Secure Boot viven finalmente en firmware. Si el firmware no acepta las actualizaciones correctas, Windows puede reportar un estado bloqueado o limitado.

Para portátiles y sobremesas de OEM principales:

FabricanteSiguiente paso práctico
DellRevisa Dell Update/SupportAssist y la página de soporte del modelo. Dell dice que las actualizaciones BIOS cliente posteriores al 1 de enero de 2026 incluyen certificados 2023.
HPUsa HP Support Assistant o la página de soporte del modelo y busca actualizaciones BIOS/UEFI relacionadas con certificados Secure Boot.
LenovoUsa Lenovo Vantage o soporte; en modelos empresariales, revisa notas de despliegue para Windows Boot Manager y WinPE.
ASUSASUS dice que Windows Update es preferible; BIOS/restablecimiento manual de claves es principalmente para casos donde Windows no puede obtener o aplicar la actualización.
Placa personalizadaRevisa modelo exacto y notas BIOS. Busca Windows UEFI CA 2023, Secure Boot certificate, UEFI CA, KEK, DB, DBX o BlackLotus.

Instala firmware solo desde el fabricante del dispositivo o placa. Las herramientas aleatorias de “BIOS updater” no son atajo.

Los propietarios de sobremesas personalizados deben tratar esto como parte del soporte de la placa base, no solo una casilla de Windows. Si estás reconstruyendo o reemplazando una máquina antigua, trata placa base, firmware, unidad de arranque, copias de seguridad y recuperación como un plan conjunto.

Checklist para pequeñas oficinas y admins de TI

Si administras más de unos pocos PC, no lo trates como una actualización de consumidor de un clic. Trátalo como despliegue cercano al firmware.

  1. Inventaria modelos, versiones BIOS/UEFI, estado Secure Boot y estado de soporte de Windows.
  2. Asegura que las claves de recuperación BitLocker estén depositadas y recuperables.
  3. Actualiza firmware primero en grupos de hardware que lo necesiten.
  4. Pilota varios dispositivos por modelo/categoría de firmware.
  5. Usa valores de estado y eventos documentados por Microsoft para verificar progreso.
  6. Reconstruye o valida WinRE, WinPE, USB de instalación y medios PXE.
  7. Documenta rollback y recuperación antes de aplicar revocaciones amplias.

Microsoft documenta activación empresarial por registro mediante AvailableUpdates, la tarea programada \Microsoft\Windows\PI\Secure-Boot-Update y valores de estado bajo HKLM\SYSTEM<wbr>CurrentControlSet<wbr>Control<wbr>SecureBoot<wbr>Servicing.

No pegues comandos de registro empresariales en dispositivos aleatorios porque un foro dijo que funcionaron. Microsoft indica que el mantenimiento de Secure Boot puede tardar, requerir reinicios y bloquearse por firmware, estado de BitLocker o prerrequisitos faltantes.

Origen de registro System útil para admins:

TPM-WMI

IDs de evento útiles:

ID de eventoSignificado simple
1036Actualización de Secure Boot DB aplicada.
1043Actualización KEK aplicada.
1044Microsoft Option ROM UEFI CA 2023 instalado.
1045Microsoft UEFI CA 2023 instalado.
1799Windows Boot Manager firmado en 2023 instalado.
1800Reinicio requerido.
1801Certificados actualizados aún no aplicados al firmware.
1802Bloqueado por problema conocido de firmware.
1803Falta KEK firmada por OEM PK; Microsoft dice que Windows no puede resolver algunos casos.
1808Completamente actualizado.

Windows 10, Windows 7 y PC antiguos

Windows 10 llegó al fin de soporte el 14 de octubre de 2025 para soporte normal de consumidores. Algunos usuarios y organizaciónes pueden continuar con Extended Security Updates, pero un PC Windows 10 sin soporte no es donde conviene depender de mantenimiento futuro de cadena de arranque.

Si estás en Windows 10:

  • comprueba si el dispositivo está inscrito en ESU o aún recibe actualizaciones de seguridad;
  • instala todo el mantenimiento disponible y reinicia;
  • comprueba si Secure Boot está activado y si Seguridad de Windows reporta estado de certificados;
  • actualiza firmware desde el OEM si el dispositivo sigue soportado;
  • planifica salir de hardware/software sin soporte si el PC no puede recibir firmware o mantenimiento de Windows requerido.

Para un PC muy antiguo que no puede ejecutar Windows 11 y sin soporte OEM significativo, la respuesta honesta puede ser reemplazo, no un ajuste de registro.

Si aún tienes Windows 7

Windows 7 es distinto de Windows 10 u 11. Microsoft terminó el soporte normal de Windows 7 el 14 de enero de 2020, y el programa Extended Security Updates principal corrió solo hasta el 10 de enero de 2023. Pueden existir sistemas embebidos, médicos, industriales o de punto de venta, pero eso no los convierte en buenos candidatos para una actualización de certificados Secure Boot impulsada por Windows Update normal.

Para una máquina Windows 7, usa esta regla:

No actives Secure Boot casualmente

Muchas instalaciones Windows 7 usan BIOS/CSM heredado o supuestos UEFI antiguos. Activar Secure Boot o restablecer claves puede dejar la máquina sin arrancar.

No la cuentes como protegida solo porque el firmware es moderno

Una placa o portátil puede recibir certificados nuevos, pero el Windows 7 sin soporte sigue sin mantenimiento de seguridad actual.

Haz un plan de reemplazo o aislamiento

Si controla una herramienta, caja, equipo de laboratorio o app antigua, documenta qué hace, respalda, aíslalo de internet y planifica una ruta compatible.

Checklist práctico Windows 7:

  1. Mantener una imagen completa de disco y ruta de restauracion probada antes de tocar firmware.
  2. No cambiar Secure Boot, CSM, modo UEFI o TPM salvo que la ruta exacta esté probada en hardware de repuesto o unidad clonada.
  3. Quitar navegación web, correo y trabajo diario de usuario de esa máquina.
  4. Ponerla en red/VLAN restringida o sin conexión si el flujo lo permite.
  5. Usar firewall con allowlist solo para servidores o dispositivos necesarios.
  6. Reemplazar herramientas de acceso remoto sin soporte y bloquear acceso entrante donde sea posible.
  7. Pedir al proveedor una ruta de SO compatible; en equipos industriales antiguos puede ser imagen del proveedor, VM o reemplazo.

Si la máquina es lo bastante importante como para que “simplemente actualizar” no sea realista, es lo bastante importante como para tratarla como riesgo operativo, no como PC doméstico normal.

Linux dual boot, PXE y VMs

Los sistemas de arranque dual necesitan más cautela que un PC solo Windows. Muchas distribuciones Linux usan un shim bootloader firmado por Microsoft para participar en Secure Boot. La transición exacta a componentes firmados en 2023 depende de la distribución, paquete shim y base de confianza de firmware.

Enfoqué práctico:

  • actualiza Windows y tu distribución Linux antes de cambiar confianza Secure Boot;
  • confirma la guía Secure Boot/shim de tu distribución;
  • no apliques revocaciones DBX amplias hasta saber que ambas rutas arrancan;
  • conserva un USB de recuperación actual para cada SO.

PXE y WinPE son similares. Si tu arranque de red o medio de despliegue aún depende de componentes firmados en 2011, las revocaciones pueden romperlo.

Las VMs también merecen revisión. Hosts e invitados Hyper-V necesitan mantenimiento Windows actual para la ruta de certificados. Si administras VMware u otras plataformas, lee las notas del proveedor antes de aplicar revocaciones Secure Boot de forma amplia.

Los términos sin niebla

TérminoSignificado simplePor qué importa
Secure BootFunción UEFI que comprueba firmas de software de arranque antes de Windows.Bloquea algunos bootkits y código temprano no autorizado.
UEFIInterfaz de firmware moderna que reemplazó BIOS heredado en la mayoría de PC.Secure Boot depende de modo UEFI.
KEKKey Exchange Key. Autoriza cambios en bases de confianza Secure Boot.Si la confianza KEK está vieja o falta, las actualizaciones pueden fallar.
DBBase de datos de firmas permitidas.Contiene certificados y hashes que el firmware confía.
DBXBase de datos de firmas prohibidas.Bloquea componentes de arranque malos o revocados.
Windows UEFI CA 2023Nuevo certificado usado para confianza de Windows Boot Manager.Windows lo necesita para la cadena de arranque 2023.
Microsoft UEFI CA 2023Nuevo certificado para apps/cargadores UEFI de terceros.Relevante para rutas y herramientas no Windows.
Option ROM UEFI CA 2023Nuevo certificado para ciertos componentes de arranque de firmware de dispositivos.Relevante para hardware que arranca por option ROM, como algunos dispositivos de red/almacenamiento.
Boot ManagerComponente temprano de Windows que inicia el SO.Boot managers antiguos vulnerables son parte de la historia BlackLotus.

Un plan sensato para la próxima semana

Para un PC doméstico normal:

  1. Haz copia de archivos importantes.
  2. Guarda la clave de recuperación de BitLocker si el cifrado de dispositivo está activado.
  3. Instala actualizaciones de Windows.
  4. Reinicia hasta que no quede reinicio pendiente.
  5. Revisa Seguridad de Windows > Seguridad del dispositivo > Secure Boot.
  6. Revisa la app de actualización del OEM para BIOS/UEFI si Windows reporta problema de firmware.
  7. Recrea cualquier USB viejo de recuperación/instalación de Windows con herramientas actuales de Microsoft.

Para una oficina pequeña, agrega inventario, grupos piloto, monitorización de eventos y validación de medios de recuperación antes de tocar revocaciones amplias.

La versión calmada también es la seria: actualiza normalmente, verifica el estado real de certificados y no conviertas una transición manejable en un problema de arranque causado por ti.

Páginas oficiales que conviene abrir

En este tema, las páginas de Microsoft no son decoración: son el lugar más seguro para confirmar el texto de estado antes de tocar firmware. Empieza por la visión general de caducidad de certificados Secure Boot, la página de estado en Seguridad de Windows y el playbook Secure Boot 2026. Si un paso implica revocaciones, BitLocker, medios de recuperación o despliegue en varios equipos, lee también la guía del fabricante de tu dispositivo.