- Microsoft está renovando los certificados de Arranque Seguro de 2011 por nuevas claves de 2023 que empezarán a ser imprescindibles a partir de junio de 2026.
- La actualización llega de forma automática vía Windows Update y, en algunos equipos, requerirá además parches de firmware de los fabricantes (OEM).
- Windows 11 y Windows 10 con programa de seguridad extendida seguirán recibiendo los nuevos certificados; los sistemas sin soporte quedarán en un estado de seguridad degradada.
- Empresas y administradores TI deben planificar y monitorizar el despliegue, especialmente en flotas gestionadas, servidores y dispositivos especializados.
Los equipos con Windows van a vivir en los próximos meses un cambio silencioso pero muy relevante en materia de seguridad: Microsoft está renovando los certificados que sostienen el Arranque Seguro, la función que comprueba qué se ejecuta justo cuando el ordenador se enciende. Aunque para la mayoría de usuarios todo ocurrirá en segundo plano, no actualizar estos certificados puede dejar los PCs más expuestos a ciertos ataques y causar problemas de compatibilidad con hardware y software futuros.
El movimiento afecta a prácticamente todo el ecosistema de Windows actual, desde Windows 11 hasta Windows 10 con soporte extendido, pasando por Windows Server y equipos profesionales, educativos o domésticos. El objetivo es reemplazar las claves introducidas en 2011 por certificados modernos que garanticen la seguridad del proceso de arranque durante otra larga etapa, mientras los fabricantes de PCs y de firmware colaboran para que la transición sea lo más transparente posible.
Por qué Microsoft actualiza los certificados de Arranque Seguro
El Arranque Seguro (Secure Boot) se introdujo en 2011 como una capa de defensa crítica en Windows y Windows Server: comprueba, antes de que el sistema operativo empiece a cargar, que solo se ejecuta software firmado y de confianza. De este modo bloquea rootkits, bootkits y otros ataques muy sofisticados que se esconden en las primeras fases del encendido y que son más difíciles de detectar una vez arrancado el sistema.
Para conseguirlo, la función se apoya en un conjunto de certificados almacenados en el firmware UEFI de los equipos, emitidos originalmente por Microsoft hace casi 15 años. Esas credenciales criptográficas han permitido validar el gestor de arranque de Windows, las bases de datos de firmas, las listas de revocación y ciertos controladores críticos. Pero, como ocurre en toda la industria, las claves y certificados tienen fecha de caducidad para evitar que se conviertan en un punto débil frente a técnicas de ataque cada vez más avanzadas.
Microsoft ha confirmado que los certificados originales de Arranque Seguro expirarán a finales de junio de 2026, con vencimientos adicionales que se extenderán hasta octubre del mismo año en algunos casos. Por eso se ha puesto en marcha una operación de mantenimiento de gran alcance para migrar los equipos a nuevos certificados de 2023, más alineados con los estándares de seguridad actuales y preparados para los próximos años.
Este esfuerzo se considera internamente una especie de “renovación generacional” de la cadena de confianza que protege el arranque de los PCs modernos. La compañía insiste en que no se trata de un cambio puntual, sino de una responsabilidad continua que comparte con todo el ecosistema de fabricantes de hardware, proveedores de firmware y socios OEM.
Un despliegue coordinado con fabricantes y socios OEM
Actualizar certificados que residen en el firmware no es un parche cualquiera: toca directamente la forma en la que el PC arranca. Para minimizar riesgos, Microsoft lleva tiempo trabajando codo con codo con los fabricantes de equipos originales (OEM) y con los proveedores de firmware UEFI, a través de un enfoque basado en estándares y herramientas de servicio específicas.
Los grandes fabricantes han salido públicamente a respaldar la iniciativa. Desde Dell Technologies, su vicepresidente de Tecnología de Seguridad, Rick Martínez, subraya que la protección del Arranque Seguro es esencial para mantener la confianza en los dispositivos. HP, por su parte, explica que colabora estrechamente con Microsoft para garantizar que todos los PCs HP compatibles con Windows 11 dispongan de actualizaciones de firmware que permitan adoptar los nuevos certificados antes de que caduquen los antiguos.
Lenovo también ha querido remarcar este trabajo conjunto: Tom Butler, vicepresidente de Portafolio Comercial y Gestión de Productos, destaca que la coordinación en planificación, pruebas e implementación busca que los clientes se mantengan protegidos, bien informados y con soporte durante toda la transición. En la práctica, esto se traduce en que muchos equipos fabricados a partir de 2024 ya salen de fábrica con los certificados renovados.
Microsoft asegura que los OEM han venido implementando certificados actualizados en dispositivos nuevos desde 2024, y que casi todos los PCs entregados en 2025 ya incluyen las nuevas claves, sin que el usuario tenga que hacer absolutamente nada. Para el inmenso parque de dispositivos ya en circulación, la compañía y sus socios han diseñado herramientas y capacidades de servicio que permiten introducir los certificados de manera gradual y supervisada, evitando sobresaltos.
Qué cambia para Windows 11, Windows 10 y otras versiones
En la práctica, la actualización de certificados afecta a todas las versiones de Windows actualmente soportadas, tanto clientes como servidores, así como a equipos de consumo, empresas y sector educativo. La estrategia, eso sí, varía según el sistema:
- Windows 11: es el foco principal. Las últimas acumulativas, incluyendo paquetes como KB5074109 y las actualizaciones dinámicas KB5074110 y KB5074111, ya integran cambios relacionados con el Arranque Seguro y el certificado UEFI CA 2023.
- Windows 10: el soporte general terminó el 14 de octubre, pero los equipos inscritos en el programa de Actualizaciones de Seguridad Extendidas (ESU) seguirán recibiendo parches de seguridad y los nuevos certificados. Los Windows 10 sin ESU, en cambio, no obtendrán estas actualizaciones.
- Windows Server y entornos empresariales: reciben los certificados a través de las mismas oleadas mensuales, con guías específicas para administradores TI y flotas gestionadas.
Para el usuario medio que mantiene el sistema al día, no hará falta tocar nada: los nuevos certificados se entregan mediante las actualizaciones mensuales de Windows Update. En muchos casos, la renovación irá incluida en las mismas acumulativas que el resto de parches de seguridad. Solo una fracción de dispositivos necesitará además una actualización independiente de firmware UEFI proporcionada por el fabricante del PC.
En el caso de Windows 10 sin ESU y versiones anteriores, la situación es distinta. Estos sistemas ya no reciben soporte regular, de modo que no obtendrán ni los parches de seguridad ni los nuevos certificados de Arranque Seguro. Podrán seguir funcionando, pero con una protección cada vez más limitada. Microsoft recomienda de forma explícita usar siempre una versión en soporte para mantener un nivel razonable de seguridad.
Qué ocurre si los certificados caducan sin actualizarse
Uno de los mensajes que más insiste Microsoft es que, si un dispositivo llega a junio de 2026 con los certificados de 2011 caducados y sin los nuevos instalados, el equipo seguirá arrancando y funcionando con normalidad en lo básico. El sistema operativo continuará ejecutándose y el uso cotidiano —navegar, trabajar con documentos o usar muchas aplicaciones— puede parecer inalterado.
El problema es que ese PC entrará en un estado de seguridad degradada. Al no poder confiar en las nuevas claves, ya no recibirá futuras protecciones a nivel de arranque: actualizaciones del Administrador de arranque de Windows, cambios en las bases de datos de Secure Boot, nuevas listas de revocación o mitigaciones frente a vulnerabilidades que se descubran en la cadena de arranque.
Con el paso del tiempo, esto implica que las amenazas a nivel de firmware y de inicio temprano irán encontrando cada vez más huecos sin parchear. Rootkits y malware que operan antes de que el sistema cargue completamente pueden escapar al control de las soluciones de seguridad tradicionales, dejando el equipo especialmente expuesto.
Además, Microsoft advierte de que se pueden producir problemas de compatibilidad progresivos: nuevas versiones de Windows, firmware, controladores o software que dependa del Arranque Seguro podrían dejar de cargar o presentar errores si el dispositivo no sabe reconocer las claves modernas. Algunas aplicaciones, juegos o herramientas con requisitos estrictos de seguridad podrían simplemente negarse a ejecutarse.
En palabras de la propia compañía, a medida que aparecen nuevas vulnerabilidades en el arranque, los sistemas que no se actualizan “quedan cada vez más expuestos porque ya no pueden instalar nuevas mitigaciones”, algo que a la larga también puede traducirse en incompatibilidades con tecnologías futuras.
Impacto en usuarios domésticos: ¿qué hay que hacer?
Para los usuarios de a pie en España y el resto de Europa, el mensaje es relativamente sencillo: mantener Windows y el firmware actualizados. En la enorme mayoría de ordenadores domésticos, la renovación de certificados llegará de forma automática a través de Windows Update, sin necesidad de entrar en BIOS/UEFI ni tocar configuraciones avanzadas.
Si el equipo es nuevo —especialmente los comprados a partir de 2024 con Windows 11 preinstalado—, lo más probable es que ya incluya los certificados modernos. En esos casos basta con dejar activas las actualizaciones automáticas del sistema y evitar deshabilitar el Arranque Seguro, una tentación habitual cuando se trastea con ajustes de la BIOS para instalar otros sistemas o versiones antiguas.
En PCs más veteranos, incluidos muchos que siguen funcionando perfectamente en hogares y pequeñas oficinas, la recomendación es revisar de vez en cuando las páginas de soporte del fabricante (Dell, HP, Lenovo, etc.) para comprobar si hay actualizaciones de BIOS o firmware pendientes. En algunos modelos será necesario instalar esos parches antes de que Windows pueda aplicar por completo los nuevos certificados.
Microsoft también ha adelantado que, en los próximos meses, la aplicación Seguridad de Windows mostrará mensajes específicos sobre el estado de esta transición, de modo que el usuario pueda llevar un control más preciso de si el dispositivo ya se ha migrado a las nuevas credenciales. En todo caso, quien tenga el sistema continuamente parcheado y no haya desactivado Secure Boot debería estar cubierto.
Conviene recordar que, además de blindar el arranque, Secure Boot se ha convertido en un requisito práctico para algunas aplicaciones y juegos modernos. Títulos como las últimas entregas de las sagas Battlefield o Call of Duty ya exigen que la función esté activa para poder ejecutar sus sistemas antitrampas, por lo que tener los certificados al día evita dolores de cabeza adicionales.
Escenario para empresas y administradores TI
Donde sí se complica el panorama es en entornos corporativos y flotas gestionadas. Para organizaciones con cientos o miles de equipos, servidores y dispositivos especializados, la renovación de los certificados de Arranque Seguro requiere planificación, inventario y monitorización, especialmente de cara a la fecha clave de junio de 2026.
Microsoft ha publicado una guía detallada para profesionales TI en la que enumera los certificados que caducan, describe las nuevas autoridades de certificación de 2023 y propone estrategias para desplegar los cambios usando Intune, directivas de grupo, métodos basados en el registro y otras herramientas de gestión habituales en las empresas.
En esos escenarios, los nuevos certificados se distribuirán igualmente mediante las actualizaciones mensuales regulares de Windows, siempre que los dispositivos envíen datos de diagnóstico suficientes para que Microsoft pueda validar su preparación. En aquellos equipos donde esa validación no sea posible, la organización deberá planificar la implementación de forma manual, siguiendo el manual para administradores y sus propios procedimientos internos.
La compañía insiste en desaconsejar soluciones de “atajo”, como desactivar temporalmente el Arranque Seguro para esquivar problemas puntuales, ya que eso deja el hardware expuesto justo en la fase más delicada del encendido. También recuerda que algunos sistemas especializados —por ejemplo, ciertos servidores, dispositivos IoT o equipos de laboratorio— pueden seguir procesos de actualización distintos que conviene revisar con calma.
En paralelo, los parches dinámicos como KB5074110 y KB5074111 refuerzan el entorno de recuperación de Windows (WinRE) y el propio Administrador de arranque, corrigiendo errores que afectaban a instalaciones desde ISO, herramientas de accesibilidad como Narrador o utilidades de depuración como KDNET. Todo ello se integra en la misma estrategia global para reducir el riesgo de fallos en el arranque y en los procesos de recuperación.
Qué pasa con Windows 10 y los equipos que no se actualizan
La situación de Windows 10 merece un capítulo aparte. Tras el fin del soporte oficial, millones de máquinas han quedado en una especie de tierra de nadie: siguen funcionando, pero ya no reciben mejoras de características ni parches de seguridad, lo que en un sistema tan atacado como Windows resulta especialmente delicado.
Con la caducidad de los certificados de Arranque Seguro en junio de 2026, esa fragilidad aumenta. Microsoft ha dejado claro que solo los equipos con programa de seguridad extendida (ESU) activo recibirán los nuevos certificados a través de Windows Update, del mismo modo que ocurre en Windows 11. Para el resto de instalaciones de Windows 10, la plataforma quedará cada vez más expuesta a vulnerabilidades de arranque, brechas en BitLocker y ataques de firmware sin mitigar.
Aun así, incluso en el peor de los casos, los certificados caducados no harán que el PC deje de encenderse ni impedirán usarlo para tareas básicas. Lo que sí ocurrirá es que el sistema no podrá instalar determinadas actualizaciones futuras que dependan de los certificados renovados, lo que limitará todavía más el acceso a nuevas protecciones. También podría haber aplicaciones —incluidas algunas relacionadas con seguridad y cifrado— que exijan esos certificados para funcionar correctamente.
En equipos relativamente recientes, especialmente aquellos comprados en 2024 o 2025, muchos OEM ya han incorporado de fábrica las nuevas claves, de modo que basta con mantener el sistema operativo y el firmware al día. En máquinas más antiguas, la recomendación de los expertos es doble: valorar seriamente la migración a Windows 11 o a otro sistema soportado y, mientras tanto, instalar todas las actualizaciones disponibles, incluyendo las de BIOS/UEFI.
En todo caso, Microsoft insiste en que usar un sistema sin soporte —y más aún sin los certificados modernos de Arranque Seguro— no es una opción recomendable en un escenario de ciberamenazas tan agresivo como el actual. El coste de no actualizar puede no verse de inmediato, pero se traduce en una superficie de ataque mucho mayor a medio y largo plazo.
El cambio de certificados de Arranque Seguro en Windows no es una novedad espectacular de cara al usuario, pero sí una de esas operaciones de fondo que sostienen la seguridad de todo el ecosistema. Al renovar las claves introducidas en 2011 por certificados de 2023, Microsoft y los fabricantes europeos y globales refuerzan la cadena de confianza que protege a millones de PCs desde el mismo instante en que se encienden. Para la mayoría bastará con dejar que Windows y el firmware se actualicen con normalidad; quienes sigan anclados a versiones sin soporte o ignoren estas actualizaciones asumirán un riesgo creciente, tanto en protección frente a ataques como en compatibilidad con el hardware y el software que viene.
