Cómo garantizar que sus certificados de arranque seguro estén actualizados antes de junio de 2026.
Cualquiera que lleve tiempo usando Windows sabe que los certificados de arranque seguro son cruciales para la seguridad, pero también pueden ser un problema cuando caducan. Si los certificados de tu dispositivo están desactualizados o no se han actualizado, corres el riesgo de que se filtren vulnerabilidades como bootkits o malware. Además, algunos usuarios han reportado problemas de arranque o advertencias. La buena noticia es que Microsoft tiene una hoja de ruta y herramientas para mantener todo actualizado, pero es un proceso algo manual si tu dispositivo es algo antiguo (principalmente modelos anteriores a 2024).Esta guía te explicará lo esencial: comprobar el estado actual, asegurarte de que el firmware esté listo e implementar manualmente los certificados si es necesario. Porque, claro, a Windows le gusta complicar las cosas innecesariamente, pero con un poco de paciencia, mantendrás tu dispositivo seguro.
Cómo actualizar los certificados de arranque seguro de Windows
La mayoría de los PC más recientes (a partir de 2024) ya tienen esto solucionado gracias a las actualizaciones automáticas. Pero si usas un equipo más antiguo, tendrás que ensuciarte las manos. Esto es lo que recomienda Microsoft: – Revisa tu configuración – Comprueba el estado de Arranque seguro – Asegúrate de que el firmware de tu BIOS/UEFI esté actualizado – Luego, implementa o confirma los certificados más recientes Analicemos esto paso a paso:
Inventaría y prepara tu entorno.
Este paso consiste en asegurarse de saber cuál es su situación. Para todos los dispositivos, especialmente los más antiguos, es importante verificar qué está instalado y qué no. Muchas organizaciones confían en Windows Update para que distribuya automáticamente los certificados más recientes; es la opción más sencilla. Sin embargo, para los dispositivos que no se actualizan automáticamente o si está solucionando problemas, es mejor saber qué está sucediendo realmente. En algunas máquinas, la actualización solía fallar al primer intento; reiniciar a veces ayuda, por extraño que parezca. Puede usar PowerShell o Símbolo del sistema con derechos de administrador para ejecutar algunos comandos y verificar el estado actual del certificado. Evite actualizar la BIOS directamente a menos que sepa lo que está haciendo; las actualizaciones de firmware son más seguras si se realizan a través de las herramientas o actualizaciones oficiales del fabricante.
Supervise y compruebe el estado de arranque seguro de sus dispositivos.
Microsoft ofrece varias maneras de comprobar si su dispositivo tiene instalados los certificados más recientes. Un método práctico es consultar el Visor de eventos de Windows: – Abra el Visor de eventos (`eventvwr.msc`) – Expanda Registros de Windows > Sistema – Filtre por ID de evento 1808: esto indica que el nuevo certificado de arranque seguro se aplicó correctamente. Si no está presente, busque el ID de evento 1801, que indica que la actualización no se ha realizado. También puede consultar el Registro: – Navegue hasta ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot ` – Busque la clave `UEFICA2023`, que debería mostrar un estado como `Actualizado`.La ausencia de `UEFICA2023Error` sugiere que no se produjeron errores. En algunas configuraciones, ejecutar este comando de PowerShell puede ser útil: powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’.Si devuelve True, probablemente todo esté correcto, pero si no, su sistema aún utiliza certificados antiguos. Consultar Windows Update en Configuración > Windows Update > Historial de actualizaciones puede revelar cuándo se instalaron los certificados, especialmente si ve la entrada Actualización de clave permitida de arranque seguro (KEK).
Aplique las actualizaciones de firmware del fabricante antes que las de Microsoft.
Es fundamental recalcar esto: las actualizaciones de firmware suelen solucionar problemas de compatibilidad, especialmente con el arranque seguro. Visita el sitio web de soporte de tu fabricante o su software de administración de dispositivos para obtener el firmware BIOS/UEFI más reciente. Las actualizaciones de firmware a veces pueden ser un poco complicadas; algunos fabricantes recomiendan hacerlo directamente a través de sus herramientas de actualización o incluso reinstalar el BIOS, lo cual puede sonar intimidante, pero suele ser sencillo si sigues las instrucciones cuidadosamente. Antes de aplicar parches de Windows, asegúrate de tener el firmware actualizado. Esto te evitará muchos problemas más adelante, sobre todo si tu dispositivo no reconoce los nuevos certificados de arranque seguro.
Implementar certificados de arranque seguro
Si su dispositivo no actualiza los certificados automáticamente (por ejemplo, si ha deshabilitado la actualización automática o si su organización controla la implementación), puede enviarlos manualmente mediante algunos métodos.Con Microsoft Intune: Vaya a Dispositivos > Administrar dispositivos en el portal de Endpoint Manager. Cree un nuevo perfil de configuración de dispositivo: seleccione Windows 10 y posterior como plataforma, con el tipo Perfil de configuración. Elija Catálogo de configuración y luego agregue la configuración de Arranque seguro. Habilite Actualizaciones de certificados de arranque seguro y configure otras opciones como Opción de suscripción administrada de Microsoft Update o Opción de exclusión de alta confianza si es necesario. Asigne ese perfil a sus grupos de dispositivos.Mediante claves del registro – Abra el Editor del registro (`regedit`) – Navegue hasta ` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot ` – Establezca el valor DWORD de AvailableUpdates en `0x5944` para forzar la implementación de los certificados más recientes (esto es un atajo, pero funciona en muchas configuraciones).Mediante el Sistema de configuración de Windows (WinCS) – Microsoft ahora ofrece herramientas de línea de comandos y módulos de PowerShell para consultar/aplicar configuraciones de arranque seguro; consulte la documentación oficial o https://github.com/memstechtips/Winhance para obtener scripts.Directiva de grupo – Abra el Editor de directivas de grupo (`gpedit.msc`) – Navegue hasta Configuración del equipo > Plantillas administrativas > Componentes de Windows > Arranque seguro – Habilite «Habilitar la implementación de certificados de arranque seguro», lo que indica a Windows que gestione automáticamente la administración de certificados. Microsoft también comparte pasos para solucionar problemas en esta página: https://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235
Requisitos para obtener los certificados más recientes a través de Windows Update
Asegúrate de tener activada la opción de Datos de diagnóstico; esto permite que Windows obtenga los certificados actualizados directamente. Además, si tienes versiones anteriores de Windows 10 o no estás inscrito en el programa ESU (Actualizaciones de seguridad extendidas), podrías perderte esta actualización. Inscríbete si es necesario.
Cómo comprobar el estado del arranque seguro en Windows 11 Home
Ejecutar un comando de PowerShell como: powershell [System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’ puede darte una idea rápida de si tus certificados están actualizados. El resultado dice True si lo están. Alternativamente, en Configuración > Windows Update > Historial de actualizaciones > Otras actualizaciones, verás entradas como «Actualización de la clave permitida de arranque seguro (KEK)».Si está ahí, tienes la última versión.
¿Qué ocurre si el sistema indica que “Hay certificados de arranque seguro actualizados disponibles, pero aún no se han aplicado”?
Esto indica que los certificados están listos para implementarse, pero es necesario reiniciar el equipo. Reiniciar completamente el equipo, no solo apagarlo, es fundamental; a veces, incluso dos veces, por si acaso. Compruebe Windows Update si hay avisos de instalación pendientes y aplique las actualizaciones. Si sigue viendo el mensaje después de reiniciar, verifique la versión de su BIOS/firmware; a veces, actualizar la BIOS ayuda a finalizar el proceso. Por último, los certificados antiguos caducarán en junio de 2026, así que si su dispositivo es anterior a 2024, asegúrese de actualizarlos antes de esa fecha. Mantenerse actualizado es sencillo: mantenga Windows y el firmware actualizados y verifique periódicamente el estado de arranque seguro de su dispositivo.
Resumen
Mantener actualizados los certificados de arranque seguro no es tarea fácil, pero es fundamental para la seguridad. La mayoría de los dispositivos más recientes lo hacen automáticamente, pero los sistemas más antiguos requieren un mantenimiento manual para mantenerse protegidos. Comprobar el estado con regularidad, aplicar actualizaciones de firmware e implementar certificados mediante Intune, el Registro o la Directiva de grupo puede ayudar a evitar problemas de arranque o vulnerabilidades en el futuro. Esperemos que esto le ahorre dolores de cabeza a alguien más adelante; solucionar este problema puede evitar muchos inconvenientes.