Cómo comprobar si su PC tiene los certificados de arranque seguro actualizados en Windows 11 y 10.

  • Los certificados de arranque seguro de Microsoft de 2011 caducan en junio de 2026.
  • Los nuevos certificados UEFI CA de Windows de 2023 extienden la protección hasta 2053.
  • Los dispositivos adquiridos en 2024 o posteriormente suelen incluir ya los certificados actualizados.
  • Los ordenadores más antiguos reciben la actualización gradualmente a través de Windows Update.
  • Puede verificar el estado del certificado mediante un comando de PowerShell.

En algunos dispositivos con Windows 11 y Windows 10, los certificados de arranque seguro emitidos por primera vez en 2011 caducarán en junio de 2026. Aunque Microsoft los está reemplazando activamente con certificados de 2023, conviene verificar que el sistema ya haya actualizado a los certificados más recientes para evitar problemas de inicio o de seguridad.

El arranque seguro (Secure Boot) es una función de protección basada en firmware de la Interfaz de Firmware Extensible Unificada (UEFI) que garantiza que un dispositivo solo cargue software firmado digitalmente y de confianza para el fabricante. Protege el proceso de inicio al impedir modificaciones no autorizadas en componentes críticos del arranque antes de que se cargue el sistema operativo.

Para lograrlo, Secure Boot utiliza claves criptográficas, conocidas como autoridades de certificación (CA), para validar los módulos de firmware y los gestores de arranque. Estos certificados crean una cadena de confianza que impide la ejecución de código malicioso durante el inicio del sistema.

Al igual que todos los certificados digitales, las CA de arranque seguro tienen fechas de caducidad definidas. Dado que los certificados de 2011 caducan en junio de 2026, los sistemas deben tener instalados los certificados más recientes de 2023 para seguir recibiendo actualizaciones y arrancando con normalidad sin fallos de validación de confianza.

Dado que los certificados digitales tienen fechas de caducidad, los sistemas deben instalar los certificados de 2023 antes de que caduquen las CA de 2011 en junio de 2026 para seguir arrancando y recibiendo actualizaciones correctamente.

Los dispositivos adquiridos en 2024 o posteriormente generalmente ya incluyen los nuevos certificados. Para el hardware más antiguo, Microsoft los distribuye a través de Windows Update.

Microsoft ya identifica y actualiza automáticamente las certificaciones de arranque seguro mediante las actualizaciones periódicas del sistema, por lo que no se requiere ninguna acción manual más allá de mantener Windows Update activado e instalar las actualizaciones de seguridad mensuales antes de la fecha límite de junio de 2026. Sin embargo, siempre es recomendable comprobar si su dispositivo cuenta con los certificados adecuados.

En esta guía , describiré los pasos para comprobar si los certificados de arranque seguro de 2023 ya están instalados en su ordenador.

Comprueba si tu PC tiene los certificados de Arranque seguro 2023 usando PowerShell.

Para comprobar si dispone de los certificados de arranque seguro “actualizados” de 2023 (que sustituyen a los que caducan en 2026), siga estos pasos:

  1. Abre el menú Inicio en Windows 11.

     

     

  2. Busque PowerShell (o Terminal ), haga clic con el botón derecho en el primer resultado y seleccione la opción Ejecutar como administrador.

  3. Escriba este comando para comprobar la fecha de caducidad de los certificados de arranque seguro y pulse Intro: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Cómo comprobar si su PC tiene los certificados de arranque seguro actualizados en Windows 11 y 10.

Una vez completados los pasos, si el resultado es "Verdadero", tendrá el nuevo certificado (válido hasta 2053). Si el resultado es "Falso", probablemente aún tenga el certificado de 2011 (que vence en 2026).

Los certificados de Secure Boot 2011 caducan en 2026: qué hace cada certificado.

Casi todas las cadenas de arranque seguro modernas se basan en los certificados de Microsoft de 2011, que tienen las siguientes fechas de caducidad :

  • Microsoft Corporation KEK CA 2011 (24 de junio de 2026). 
  • Microsoft Corporation UEFI CA 2011 (27 de junio de 2026).
  • Microsoft Option ROM UEFI CA 2011 (27 de junio de 2026).
  • Microsoft Windows Production PCA 2011 (19 de octubre de 2026).

A modo de referencia, esto es lo que hace cada certificado:

  • Certificado KEK: Ancla de confianza que permite actualizar las bases de datos de firmas de arranque seguro (DB/DBX).
  • Certificados de CA UEFI: Confía en las firmas de los gestores de arranque y los componentes del firmware (incluidas las aplicaciones EFI de terceros).
  • Opción ROM CA: Confía en los módulos de firmware de opción ROM.
  • Microsoft Windows Production PCA 2011: Garantiza que el gestor de arranque de Windows y los binarios relacionados sean de confianza para el firmware en el modo de arranque seguro (Secure Boot).

Si sus certificados están próximos a caducar, Microsoft y el fabricante de su equipo (OEM) implementarán automáticamente actualizaciones de firmware o actualizaciones "DBX" a través de Windows Update o actualizaciones del sistema para obtener los nuevos certificados CA de 2023. Siempre puede instalar manualmente los nuevos certificados de arranque seguro .

¿Por qué aparece el ID de evento 1801 en el Visor de eventos (y por qué no es un error)?

Finalmente, probablemente notará que aparece el ID de evento 1801 para el origen "TPM-WMI (Microsoft-Windows-TPM-WMI)" con el mensaje "BucketConfidenceLevel: Under Observation – More Data Needed" .

Aunque parezca un error, no se trata de un fallo. Esta entrada indica que el sistema operativo ha detectado certificados de arranque seguro actualizados, pero aún no los ha aplicado al firmware.

El dispositivo se encuentra en una fase de prueba y validación mientras Microsoft implementa gradualmente la actualización. Dado que las claves de arranque seguro residen en el firmware UEFI y afectan la cadena de arranque, la transición se coordina cuidadosamente para evitar problemas de arranque.

En pocas palabras, el ID de evento 1801 es simplemente una comprobación de estado que indica que Windows está evaluando su dispositivo como parte del despliegue del certificado de arranque seguro. El mensaje "En observación" refleja dicho proceso de evaluación. No indica un problema con el TPM, corrupción del arranque seguro ni un fallo de la BIOS. Aunque se registra como un error, su información es meramente informativa.

La transición del certificado de arranque seguro se produce en dos fases. Primero, Windows 11 (o 10) descarga e instala el nuevo certificado dentro del sistema operativo. Posteriormente, tras las comprobaciones de compatibilidad y la validación, el certificado se graba en el firmware del sistema y se activa.

Los dispositivos pueden permanecer entre estas dos etapas durante un tiempo, por lo que las entradas de TPM-WMI pueden seguir apareciendo en el Visor de eventos aunque no haya ningún problema.

Comprueba si tu PC tiene los certificados de Arranque seguro 2023 mediante la Seguridad de Windows.

Además de utilizar PowerShell, la aplicación Seguridad de Windows se ha actualizado para mostrar el estado exacto de los certificados de arranque seguro que caducan en 2026. 

Para comprobar si su ordenador tiene los certificados de arranque seguro más recientes, siga estos pasos:

  1. Abrir Inicio .

  2. Busca " Seguridad de Windows" y haz clic en el primer resultado para abrir la aplicación.

  3. Haz clic en Seguridad del dispositivo en el panel izquierdo.

  4. Confirme el color y el mensaje del distintivo de arranque seguro.

  5. (Opción 1) El color verde significa que el sistema está completamente actualizado con los certificados y componentes de arranque más recientes.

    Cómo comprobar si su PC tiene los certificados de arranque seguro actualizados en Windows 11 y 10.

  6. (Opción 2) El color amarillo indica que hay una actualización pendiente o limitada por restricciones de compatibilidad.

    Cómo comprobar si su PC tiene los certificados de arranque seguro actualizados en Windows 11 y 10.

  7. (Opción 3) El color rojo significa que el sistema no puede aplicar las actualizaciones necesarias y requiere intervención.

    Cómo comprobar si su PC tiene los certificados de arranque seguro actualizados en Windows 11 y 10.

Una vez completados los pasos, comprenderá mejor si no es necesario realizar ninguna acción o si debe proceder con el proceso manual para actualizar el firmware de su sistema con la versión más reciente de los certificados de arranque seguro.

El mensaje que verá en la aplicación Seguridad de Windows está relacionado con las actualizaciones de certificados que se distribuyen a través de Windows Update. El sistema evalúa la compatibilidad del firmware, verifica la implementación del certificado e informa del resultado en tiempo real.

Microsoft está implementando esta actualización en la aplicación Windows Update de forma gradual. Si no puede determinar el estado de los certificados, utilice la opción de PowerShell.

Además, a partir de mayo de 2026, las notificaciones a nivel del sistema reflejarán estos estados, lo que aumentará la visibilidad cuando sea necesario tomar medidas.

Dejar un comentario

Cómo descargar el archivo ISO de Windows 11 24H2

Cómo descargar el archivo ISO de Windows 11 24H2

Para descargar el archivo ISO de Windows 11 24H2, abra la página de Microsoft, elija la opción de imagen, seleccione el idioma y haga clic en Descargar 64 bits.

Cómo evitar pagar por las actualizaciones después de que Windows 10 deje de tener soporte en 2025.

Cómo evitar pagar por las actualizaciones después de que Windows 10 deje de tener soporte en 2025.

Para evitar el coste adicional de 30 dólares por las actualizaciones de seguridad y poder seguir usando Windows 10, lo mejor es actualizar a Windows 11 tanto en ordenadores compatibles como no compatibles.

Microsoft afirma que algo importante llegará a Windows 11.

Microsoft afirma que algo importante llegará a Windows 11.

Microsoft anunciará algo importante para Windows 11 el jueves, dando a entender que la experiencia de voz con IA llegará al sistema operativo.

Cómo crear una unidad USB de arranque de Windows 11 para hardware no compatible.

Cómo crear una unidad USB de arranque de Windows 11 para hardware no compatible.

¿Instalando Windows 11 en hardware no compatible? Aprende los pasos para crear una unidad USB de arranque con Rufus o Ventoy y así evitar las restricciones de TPM y Arranque Seguro.

Cómo forzar la actualización a Windows 11 25H2 desde la versión 24H2

Cómo forzar la actualización a Windows 11 25H2 desde la versión 24H2

Para actualizar de Windows 10 24H2 a 25H2, utilice la opción Descargar e instalar en Windows Update o instale manualmente la actualización KB5054156.

La compilación 26300.7674 (KB5074170) para Windows 11 se centra en correcciones de errores, no en nuevas funciones (Desarrollo).

La compilación 26300.7674 (KB5074170) para Windows 11 se centra en correcciones de errores, no en nuevas funciones (Desarrollo).

(KB5074170) La compilación 26300.7674 de Windows 11 se implementa para los Insiders con correcciones para el Explorador de archivos, el menú Inicio, la Búsqueda, problemas gráficos y errores conocidos.

Cómo habilitar BitLocker en Windows 11

Cómo habilitar BitLocker en Windows 11

Para activar BitLocker en Windows 11, abre la configuración de almacenamiento, la configuración de BitLocker y habilita la función. Las unidades extraíbles utilizan BitLocker To Go.

Cómo encontrar la clave de recuperación de BitLocker en Windows 11

Cómo encontrar la clave de recuperación de BitLocker en Windows 11

Para encontrar la clave de recuperación de BitLocker de su PC en Windows 11 (o 10), abra su cuenta de Microsoft en línea y confirme la recuperación en la página Dispositivos.

Cómo crear una unidad USB de arranque de Windows 11 (o 10) desde macOS

Cómo crear una unidad USB de arranque de Windows 11 (o 10) desde macOS

Es sorprendentemente complicado crear un instalador USB para Windows 11 (o 10) desde macOS, pero no es imposible. Aquí te explicamos cómo hacerlo.

El soporte para Microsoft Edge finalizará en octubre de 2028 para Windows 10.

El soporte para Microsoft Edge finalizará en octubre de 2028 para Windows 10.

Microsoft Edge en Windows 10 seguirá recibiendo actualizaciones al menos hasta octubre de 2028, mucho después de que finalice oficialmente el soporte para el sistema operativo en 2025.