Secure Boot de Microsoft: qué pasa con tu PC cuando expiren los certificados en junio de 2026
Los certificados de Secure Boot que protegen el arranque de millones de PCs con Windows desde 2011 caducan en junio de 2026. El primer vencimiento es el 24 de junio. Los equipos sin los nuevos certificados de 2023 seguirán funcionando con normalidad, pero perderán silenciosamente la capacidad de recibir actualizaciones de seguridad a nivel de firmware durante los próximos años.
Qué es Secure Boot y por qué importa
Secure Boot actúa como un control de acceso al inicio del sistema: verifica la firma digital del cargador del sistema operativo antes de que arranque ningún antivirus. Si esa firma no es de confianza, el proceso se detiene. El problema es que los certificados originales —los Microsoft Corporation UEFI CA 2011— llevan 15 años en activo y ya no cubren las amenazas actuales. Microsoft ha iniciado la transición a los nuevos certificados de 2023 para cerrar esa brecha.
Los PCs fabricados desde 2024 ya incorporan los nuevos certificados. Fabricantes como Dell y Lenovo llevan distribuyendo certificados duales (2011 + 2023) desde finales de 2024, según el Dell Secure Boot FAQ. Los equipos más antiguos dependen de que el fabricante publique una actualización de firmware compatible.
El riesgo real tras el vencimiento
Tu ordenador no dejará de arrancar en junio de 2026. Pero sin los certificados actualizados, Microsoft Support confirma que el sistema entra en un estado de seguridad degradado: deja de recibir actualizaciones de la lista de revocación DBX, que es la base de datos de cargadores maliciosos o vulnerables en los que el sistema ya no debe confiar.
Sin actualizaciones del DBX, el equipo queda expuesto a ataques como BlackLotus, un bootkit UEFI real que eludió Secure Boot en sistemas completamente actualizados con Windows 11 explotando la vulnerabilidad CVE-2023-24932. Es como tener un vigilante de seguridad que solo conoce los delincuentes fichados hace una década.
Qué hacer ahora
Microsoft ya está distribuyendo los nuevos certificados mediante actualizaciones de Windows. Lo más importante es no posponer las actualizaciones del sistema, ya que incluyen los componentes necesarios para la transición. Puedes comprobar el estado de Secure Boot en tu equipo desde la aplicación Seguridad de Windows.
En entornos empresariales, el proceso es más complejo: requiere actualizar el firmware del fabricante, gestionar claves de registro específicas y hacer copias de seguridad de BitLocker antes de activar los nuevos certificados. Para las pymes españolas con flotas de equipos antiguos, el riesgo es quedarse rezagadas sin saberlo. En España, fabricantes como ASUS, disponibles en MediaMarkt, PcComponentes o El Corte Inglés, no han publicado comunicados oficiales sobre el calendario de actualizaciones de BIOS para modelos anteriores a 2024.
La era del "instala y olvida" en el firmware llega a su fin. Revisar las actualizaciones pendientes antes de junio de 2026 es la acción más sencilla que se puede tomar hoy.
