Microsoft reemplaza los certificados de arranque seguro caducados en Windows 11: todos los detalles y cómo actualizar el tuyo.

• El arranque seguro impide que el malware de bajo nivel comprometa el proceso de inicio de Windows 11.
• Los certificados de arranque seguro originales de Microsoft de 2011 caducan en junio de 2026, y los nuevos certificados de 2023 extienden la protección hasta 2053.
• Es probable que los dispositivos adquiridos en 2024 y años posteriores ya cuenten con los certificados más recientes. Otros los están recibiendo gradualmente a través de Windows Update.
• Puedes comprobar el estado de tu certificado mediante PowerShell y actualizarlo manualmente mediante ajustes en el Registro y tareas programadas si las actualizaciones no se han recibido automáticamente.

El certificado del módulo de arranque seguro de su PC caduca en junio de 2026. A partir de la actualización de seguridad de enero de 2026 , Microsoft ha comenzado a implementar gradualmente un nuevo certificado que permitirá que su equipo siga arrancando correctamente y reciba actualizaciones de seguridad.

En Windows 11 , el Arranque Seguro es una función de seguridad disponible en la Interfaz de Firmware Extensible Unificada (UEFI) que impide modificaciones no autorizadas a archivos críticos del sistema durante el inicio. De esta forma, garantiza que un dispositivo arranque utilizando únicamente software de confianza del fabricante.

En otras palabras, el arranque seguro ayuda a proteger sus dispositivos contra el malware de bajo nivel (como los bootkits y los rootkits) que pueden infectar el proceso de arranque y tomar el control de su computadora incluso antes de que se carguen el sistema operativo y su software antivirus.

Comprender los certificados de arranque seguro

Como parte del proceso, esta función utiliza claves criptográficas (conocidas como autoridades de certificación (CA)) para validar que los módulos de firmware provienen de una fuente confiable, lo que ayuda a prevenir la ejecución de malware durante las primeras etapas del arranque del dispositivo.

Los certificados de arranque seguro siempre han tenido fechas de caducidad, ya que ayudan a garantizar que su equipo siga recibiendo actualizaciones de seguridad y arranque correctamente. Por eso, debe instalar los certificados de 2023 antes de que los certificados de 2011 comiencen a caducar en junio de 2026.

Si adquiriste un dispositivo en 2024 (o después), es probable que ya tenga instalados los certificados más recientes. Sin embargo, para el resto de equipos, Microsoft está implementando los nuevos certificados de arranque seguro a través de Windows Update.

En la actualización de seguridad "2026-01 (KB5074109) (26200.7623)", publicada el 13 de enero de 2026, el gigante del software indicó que las actualizaciones ahora incluyen un subconjunto de datos de segmentación de dispositivos de alta confianza que identifica los dispositivos elegibles para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos recibirán los nuevos certificados solo después de demostrar señales de actualización exitosas suficientes, lo que garantiza una implementación segura y gradual.

Esto significa que no es necesario realizar ningún paso manual para actualizar el Arranque seguro , salvo permitir que el sistema siga recibiendo actualizaciones. Al menos desde ahora hasta que esté disponible la Actualización de seguridad de junio de 2026.

Compruebe la fecha de caducidad del certificado de arranque seguro.

Dado que no recibirás una notificación cuando tu ordenador incluya las últimas autoridades de certificación, es importante comprobar si tu dispositivo aún necesita una actualización.

Windows 11 no tiene un comando nativo para mostrar la fecha de caducidad del firmware en un formato legible. Sin embargo, puede comprobar si tiene los certificados "actualizados" de 2023 (que reemplazan a los que caducan en 2026) siguiendo estos pasos:

Abra PowerShell (como administrador) y ejecute:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Verdadero: Usted tiene el nuevo certificado (válido hasta 2053).
• Falso: Probablemente aún tengas el certificado de 2011 (que vence en 2026).

Comprobación de la caducidad del certificado de arranque seguro mediante PowerShell / Imagen: Mauro Huculak

Casi todas las cadenas de arranque seguro modernas se basan en los certificados de Microsoft de 2011, que tienen las siguientes fechas de caducidad :

• Microsoft Corporation KEK CA 2011 (24 de junio de 2026). 
• Microsoft Corporation UEFI CA 2011 (27 de junio de 2026).
• Microsoft Option ROM UEFI CA 2011 (27 de junio de 2026).
• Microsoft Windows Production PCA 2011 (19 de octubre de 2026).

A modo de referencia, esto es lo que hace cada certificado:

• Certificado KEK: Ancla de confianza que permite actualizar las bases de datos de firmas de arranque seguro (DB/DBX).
• Certificados de CA UEFI: Confía en las firmas de los gestores de arranque y los componentes del firmware (incluidas las aplicaciones EFI de terceros).
• Opción ROM CA: Confía en los módulos de firmware de opción ROM.
• Microsoft Windows Production PCA 2011: Garantiza que el gestor de arranque de Windows y los binarios relacionados sean de confianza para el firmware en el modo de arranque seguro (Secure Boot).

Actualizar los certificados de arranque seguro en Windows 11

Si sus certificados están próximos a caducar, Microsoft y el fabricante de su equipo (OEM) implementarán automáticamente actualizaciones de firmware o actualizaciones "DBX" a través de Windows Update o actualizaciones del sistema para obtener los nuevos certificados CA de 2023. Sin embargo, puede actualizar manualmente el Arranque seguro.

Advertencia: Antes de continuar, asegúrese de tener guardada una clave de recuperación de BitLocker y de que su BIOS (UEFI) esté actualizada. Si el firmware de su equipo no es compatible con los nuevos certificados, es posible que no arranque después de la actualización. También se recomienda crear una copia de seguridad completa de su equipo antes de continuar.

Abra PowerShell (como administrador) y ejecute:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Este comando establece la clave de registro que indica al sistema operativo que implemente todos los certificados necesarios (incluido el gestor de arranque firmado con PCA 2023).

El valor 0x5944corresponde al código de "mitigación completa", que habilita todas las actualizaciones de certificados pertinentes.

Windows 11 tiene una tarea integrada que procesa estos cambios de certificado, y puede activarla manualmente para evitar esperar 12 horas con el siguiente comando:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Actualizaciones de PowerShell con certificado de arranque seguro / Imagen: Mauro Huculak

La actualización suele requerir dos reinicios para aplicarse por completo. Tras el primer reinicio, el sistema actualiza el gestor de arranque. Tras el segundo, finaliza el registro del certificado en la base de datos UEFI.

Después de reiniciar el sistema, puede verificar si “UEFI CA 2023” está presente en su base de datos ejecutando este comando de PowerShell (como administrador):

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• Cierto: Su sistema ahora está protegido con los nuevos certificados.
• Falso: Si el mensaje sigue siendo falso tras varios reinicios, es posible que el firmware de la placa base sea demasiado antiguo para aceptar el nuevo formato de certificado. Consulta la página web del fabricante para obtener una actualización de la BIOS relacionada con el arranque seguro.

Si BitLocker está activo, es posible que deba deshabilitar el cifrado temporalmente ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) antes de que el firmware pueda escribir correctamente las nuevas claves en el dispositivo.