Microsoft ha advertido que los certificados originales de Secure Boot, introducidos en 2011, caducarán en junio y octubre de 2026, lo que podría dejar algunos PC en un estado de seguridad degradado. La compañía está desplegando actualizaciones a través de Windows Update para sistemas compatibles con el fin de instalar nuevos certificados y mantener las protecciones a nivel de arranque. Los usuarios de Windows 11 y dispositivos Windows 10 inscritos deben comprobar estas actualizaciones pronto.
Secure Boot, una función introducida con Windows 8 para verificar los cargadores de arranque de PC y evitar que se cargue software no verificado al inicio, ha dependido de certificados que datan de 2011. Estos certificados caducarán en junio y octubre de 2026, como se destaca en una reciente entrada de blog de Microsoft escrita por Nuno Costa, gerente de programa en la división de Servicios y Entrega de Windows. Sin los nuevos certificados, los dispositivos afectados seguirán funcionando normalmente con el software existente, pero entrarán en un estado de seguridad degradado. Esto limitará su capacidad para recibir futuras protecciones a nivel de arranque contra vulnerabilidades recién descubiertas. Con el tiempo, dichos sistemas podrían enfrentar problemas de compatibilidad con sistemas operativos más nuevos, firmware, hardware o software dependiente de Secure Boot que utilice los certificados actualizados de la era 2023. «Si un dispositivo no recibe los nuevos certificados Secure Boot antes de que caduquen los de 2011, el PC continuará funcionando normalmente y el software existente seguirá ejecutándose», escribió Costa. Añadió que la actualización representa «una renovación generacional de la base de confianza en la que se basan los PC modernos al inicio». Microsoft está proporcionando los nuevos certificados a través de Windows Update para las versiones compatibles: Windows 11 (versión 24H2 o 25H2) y dispositivos Windows 10 inscritos en el programa de Actualizaciones de Seguridad Extendidas (ESU). Las versiones de Windows no compatibles no los recibirán. El proceso de renovación comienza en marzo de 2026 para usuarios elegibles, con muchos sistemas de 2024 y casi todos los de 2025 ya incluyendo los certificados en su firmware. Para verificar si un PC tiene los nuevos certificados, los usuarios pueden ejecutar el siguiente comando de PowerShell como administrador: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Un resultado de «true» indica que la base de datos activa utiliza el certificado actualizado. Pasos adicionales incluyen asegurar que Secure Boot esté habilitado, comprobar actualizaciones de firmware de OEM como Dell, HP, Lenovo o Asus, y tener lista una clave de recuperación de BitLocker si el cifrado está activo. Para PC más antiguos, restablecer las claves de Secure Boot en la BIOS puede liberar espacio en NVRAM. Microsoft ha colaborado con los principales fabricantes de PC para preparar esta transición, que describe como una práctica estándar de la industria para alinearse con los estándares de seguridad modernos. Las organizaciones de TI han sido informadas desde el año pasado, y los usuarios domésticos pueden buscar soporte a través de los servicios de Microsoft.
