Sign in Subscribe
Ciberseguridad

Secure Boot 2026: el aviso silencioso que puede dejar millones de PC con seguridad degradada

Javier Monzón

4 min read
Share
Secure Boot 2026: el aviso silencioso que puede dejar millones de PC con seguridad degradada

Secure Boot no va a “caducar” como si Windows dejara de arrancar de un día para otro. Lo que caduca en 2026 es una parte menos visible, pero crítica: varios certificados de arranque seguro emitidos en 2011 y usados todavía por muchos equipos Windows. Microsoft lleva meses preparando la transición a certificados de 2023, y junio de 2026 marca el primer hito importante. No es una noticia vistosa, pero sí muy práctica: afecta a firmware, Windows Update, BitLocker, servidores, equipos antiguos y dispositivos gestionados por empresas. Y, sobre todo, recuerda que la seguridad también envejece.

Secure Boot protege el arranque antes de que Windows exista

Secure Boot es una función del firmware UEFI que comprueba si el software que se ejecuta durante el arranque está firmado por una entidad de confianza. Dicho más claro: antes de que Windows cargue, el equipo verifica que el cargador de arranque, ciertos controladores UEFI y otros componentes previos al sistema operativo no han sido sustituidos por código malicioso.

Esto es importante porque algunos ataques no esperan a que el usuario inicie sesión. Los bootkits intentan colocarse en fases muy tempranas del arranque para ganar persistencia, ocultarse mejor y quedar por debajo de muchas defensas tradicionales. Microsoft explica en su documentación de Secure Boot que el firmware valida firmas digitales frente a bases de datos almacenadas en el propio equipo: claves permitidas, claves de intercambio y listas de revocación.

La idea es sencilla. Si el código está firmado por una autoridad confiable, puede ejecutarse. Si aparece en la lista de elementos revocados, queda bloqueado.

El problema de 2026 no es Windows, son los certificados de 2011

Cuando Microsoft introdujo Secure Boot en el ecosistema Windows, muchos equipos quedaron provisionados con certificados emitidos en 2011. Esos certificados han cumplido su ciclo de vida. Según la página oficial de Microsoft sobre la caducidad de certificados de Secure Boot, el Microsoft Corporation KEK CA 2011 expira el 24 de junio de 2026, mientras que Microsoft UEFI CA 2011 expira el 27 de junio de 2026. Otro certificado relevante, Microsoft Windows Production PCA 2011, expira el 19 de octubre de 2026.

Conviene no exagerar el titular. Un PC afectado no debería apagarse ni dejar de arrancar automáticamente al llegar esa fecha. Microsoft indica que los dispositivos sin actualizar podrán seguir arrancando e instalando actualizaciones estándar. El matiz está en otro sitio: podrían dejar de recibir nuevas protecciones para componentes tempranos del arranque, como Windows Boot Manager, bases de datos de Secure Boot, listas de revocación o mitigaciones frente a vulnerabilidades futuras.

Qué puede notar un usuario normal de Windows

Para un usuario doméstico con Windows 11 actualizado, lo más probable es que no ocurra nada visible. Muchos equipos recientes ya incorporan certificados nuevos o los reciben mediante actualizaciones ordinarias. El riesgo real está en equipos antiguos, firmware sin actualizar, instalaciones de Windows fuera de soporte, configuraciones raras de arranque dual y ordenadores que llevan años sin recibir mantenimiento serio.

El mensaje importante es que esto no va de “formatear” ni de comprar un PC nuevo por miedo. Va de mantener el sistema soportado, instalar actualizaciones de Windows y revisar, cuando proceda, si el fabricante del equipo ofrece una actualización de BIOS o firmware. Microsoft también ha publicado una guía específica para actualizar certificados de Secure Boot en Windows, donde menciona señales como eventos del sistema, estados de registro y problemas con BitLocker en escenarios de mayor riesgo.

Si usas Windows 10 fuera de soporte, el asunto es más delicado: sin actualizaciones de seguridad, cualquier transición criptográfica deja de ser transparente.

El impacto en empresas, servidores y administradores TIC

Donde este tema se vuelve realmente serio es en entornos gestionados. Una organización puede tener cientos o miles de portátiles, sobremesas, servidores, terminales industriales, equipos de laboratorio o máquinas con imágenes antiguas. Ahí el problema no es solo técnico: es inventario, compatibilidad y planificación.

Microsoft recomienda revisar el parque, identificar equipos que siguen usando certificados de 2011, actualizar firmware antes de actuar masivamente y hacer pilotos con modelos representativos. En su playbook de Secure Boot para certificados que expiran en 2026, la compañía contempla despliegues mediante Intune, claves de registro, CSP de Windows y directivas de grupo. Es decir, no lo plantea como una incidencia doméstica, sino como una operación de mantenimiento coordinada.

Hay que tener especial cuidado con BitLocker. Cambios en el entorno de arranque pueden provocar solicitudes de recuperación si el sistema interpreta que la cadena de confianza ha cambiado. Por eso las pruebas piloto no son burocracia: evitan convertir una actualización de seguridad en una mañana de portátiles bloqueados.

La seguridad también tiene fecha de caducidad

Secure Boot 2026 es un buen recordatorio de algo incómodo: la seguridad no es una foto fija. Las claves criptográficas caducan, los algoritmos envejecen, los certificados se reemplazan y las listas de revocación se actualizan. Igual que en Tecnoic hemos hablado de fallos de aplicación como IDOR y BOLA o de riesgos recurrentes en el OWASP Top 10, aquí el problema está varias capas por debajo: en la confianza inicial del dispositivo.

Ese punto suele olvidarse porque no se ve. El usuario abre el navegador, entra en el correo y trabaja. Pero debajo hay una cadena de confianza que empieza antes del sistema operativo y que depende de firmware, fabricantes, claves, firmas y actualizaciones. Si esa cadena queda congelada en 2011, el equipo puede seguir funcionando, pero cada vez tendrá menos capacidad de absorber nuevas defensas.

Conclusión

No hace falta alarmarse, pero sí conviene actuar con cabeza. En casa: Windows actualizado, firmware al día y nada de equipos abandonados fuera de soporte. En empresas: inventario, piloto y despliegue controlado. Secure Boot 2026 no es el fin de Windows; es una prueba de madurez para la seguridad de bajo nivel. ¿Lo tenías en el radar o es la típica alerta técnica que pasa desapercibida hasta que afecta a producción?