Certificados Secure Boot que caducan: riesgos y cómo prepararte

Cuando Microsoft anunció el fin del soporte de Windows 10, muchísima gente se apresuró a dar el salto a Windows 11 para que no les pillara el toro con las actualizaciones de seguridad y los requisitos modernos de hardware. Lo que muchos usuarios aún no tienen claro es que, además del propio sistema operativo, hay otra pieza crítica que también tiene fecha de caducidad: los certificados de Secure Boot que se usan para validar el arranque del PC.

Estos certificados llevan activos desde 2011 y forman parte de la base sobre la que se apoya el arranque seguro de los equipos modernos. A partir de 2026 comenzarán a expirar y, si tu PC no ha recibido los certificados nuevos, entrarás en una situación de «seguridad degradada» en la que seguirás arrancando, pero sin todas las defensas activas. Vamos a ver con detalle qué significa esto, qué se puede romper, cómo comprobar si estás afectado y qué debes hacer tanto si eres usuario doméstico como si gestionas una empresa.

Qué es exactamente Secure Boot y por qué importa tanto su certificado

Secure Boot (arranque seguro) es una función de seguridad integrada en el firmware UEFI de los PCs actuales que se encarga de garantizar que, durante el arranque, sólo se ejecute software firmado digitalmente por entidades en las que el sistema confía. En la práctica, esto incluye el firmware de la propia placa base, ROMs de opción (como la GOP de las GPU), el gestor de arranque de Windows y determinadas aplicaciones UEFI.

El mecanismo funciona validando la firma digital de cada componente de arranque frente a un conjunto de certificados guardados en la UEFI. Estos certificados actúan como raíz de confianza y se almacenan en varias estructuras: la PK (Platform Key), la KEK (Key Exchange Key), la base de datos permitida DB y la base de datos revocada DBX. Microsoft y los OEM (fabricantes) son quienes cargan esas claves cuando el equipo se fabrica.

La función se introdujo comercialmente con Windows 8, en respuesta a los malware de arranque y bootkits que infectaban el sistema antes de que el SO pudiera defenderse. Desde entonces, Secure Boot autentica módulos de firmware UEFI, ROMs de opción y cargadores de arranque, y sólo cuando todo pasa los controles el firmware cede el control al gestor de arranque de Windows.

En este modelo, la DB contiene los certificados que se consideran confiables (por ejemplo, los de Microsoft para el bootloader de Windows o para ROMs de terceros) y la DBX lista las firmas que deben bloquearse. Cualquier entidad que disponga de una KEK válida puede actualizar esas bases, de ahí que Microsoft pueda distribuir nuevas claves o revocaciones a través de Windows Update.

Todo este esquema se apoya en certificados X.509 con una ventana de validez definida. Cuando llega la fecha NotAfter del certificado, en teoría ya no debería aceptarse para validar binarios de arranque. Y ahí está el origen del problema que explotará a partir de 2026.

Qué certificados de Secure Boot caducan y en qué fechas

Desde que se implantó el arranque seguro en la era Windows 8, los dispositivos han venido utilizando un mismo conjunto base de certificados de Microsoft emitidos en 2011. Esos certificados son los que permiten firmar y validar actualizaciones de la DB/DBX, el cargador de arranque de Windows y ROMs de terceros, y ya tienen fecha de caducidad fijada en 2026.

En concreto, los elementos clave que expiran son:

• Microsoft Corporation KEK CA 2011, almacenado en la KEK, que expira en junio de 2026. Se usa para firmar actualizaciones de las bases DB y DBX.
• Microsoft Windows Production PCA 2011, almacenado en la DB, que expira en octubre de 2026. Es el certificado que firma el cargador de arranque de Windows.
• Microsoft UEFI CA 2011, también en la DB, con caducidad en junio de 2026. Se utiliza para firmar cargadores de arranque de terceros y aplicaciones EFI, y también se ha venido usando para firmar muchas ROMs de opción de GPU.
• Otra variante de Microsoft UEFI CA 2011 que se usa para firmar Option ROM de terceros (como GOPs de tarjetas gráficas), igualmente con expiración en junio de 2026.

Para reemplazarlos, Microsoft ha emitido una nueva cadena de certificados con fecha de 2023, como Microsoft Corporation KEK 2K CA 2023, Windows UEFI CA 2023 y Microsoft Option ROM UEFI CA 2023. Estos son los que deben estar presentes en tu firmware para seguir recibiendo mitigaciones y actualizaciones de seguridad relacionadas con Secure Boot más allá de 2026.

La caducidad no implica que el PC deje de arrancar del tirón el mismo día de junio de 2026, pero sí marca el punto a partir del cual el firmware puede dejar de aceptar las firmas emitidas por esos certificados de 2011. Además, Microsoft podría decidir revocar explícitamente alguno mediante una actualización de la DBX.

Varios fabricantes, como Dell o Lenovo, ya publican calendarios y explicaciones donde se detalla que, sin actualizar a la cadena de 2023, los dispositivos permanecerán operativos pero en un estado de protección reducida, sin nuevas defensas para el proceso de arranque.

Impacto real de la expiración: qué se rompe y qué sigue funcionando

Lo primero que hay que tener claro es que, incluso si tu equipo no recibe a tiempo los certificados de 2023, Windows seguirá arrancando y Windows Update continuará instalando la mayoría de actualizaciones estándar. No vas a ver de repente un ladrillo total sólo por la fecha en el calendario.

El problema está en las piezas específicas que dependen de la cadena de confianza de Secure Boot para seguir actualizándose: nuevas versiones del Windows Boot Manager, actualizaciones de las bases DB/DBX de arranque seguro y mitigaciones ante vulnerabilidades de bajo nivel. Esas mejoras pueden no aplicarse adecuadamente si tu firmware se queda anclado en los certificados de 2011 caducados.

Con el paso del tiempo, esto significa que tu dispositivo estará progresivamente menos protegido frente a amenazas emergentes que atacan justo en la fase de arranque (bootkits, malware UEFI, bypasses de BitLocker, etc.). Si usas BitLocker o protección basada en TPM, la robustez de todo el conjunto depende en gran parte de que la cadena de arranque continúe siendo de confianza y reciba las revocaciones y parches necesarios.

A nivel de uso diario, seguirás abriendo tus aplicaciones, navegando por Internet o jugando como siempre, pero bajo el capó tu PC podría quedar en un estado de seguridad degradada en el que no se apliquen nuevas listas de revocación o parches de arranque. Es un riesgo silencioso: nada parece ir mal hasta que un ataque se aprovecha de ese hueco.

En escenarios empresariales o críticos, esto no es ninguna tontería: equipos que gestionan datos sensibles, estaciones de trabajo con requisitos de cumplimiento o máquinas utilizadas para teletrabajo con VPN corporativa deben seguir alineadas con las recomendaciones de Microsoft y de los OEM para mantener el arranque seguro al día.

El caso especial de las GPU y las ROM GOP firmadas sólo con la CA 2011

Donde las cosas se ponen realmente feas es en el mundo de las tarjetas gráficas y sus GOP (Graphics Output Protocol). La GOP es el componente dentro del VBIOS de la GPU que ofrece salida de vídeo durante el arranque UEFI antes de que el sistema operativo cargue su propio driver. Sin GOP válida, no ves la pantalla de la BIOS, ni menús de arranque, ni instaladores de Windows o Linux.

Muchas GOPs, especialmente en tarjetas de NVIDIA y modelos de años anteriores, están firmadas exclusivamente con la Microsoft UEFI CA 2011. En esos casos, cuando este certificado caduque (o si el firmware deja de aceptarlo, o se revoca vía DBX), Secure Boot puede bloquear la carga de esa ROM durante el POST.

Si tu placa base necesita una GPU con GOP válida para arrancar y no cuentas con gráfica integrada en la CPU, el resultado puede ser un pseudo-ladrillo: el sistema puede no llegar ni a mostrar la BIOS, quedarse en pantalla negra antes de cualquier logo o emitir pitidos de error sin llegar a completar el POST. La tarjeta funcionaría a nivel de hardware, pero el firmware no la inicializaría cuando Secure Boot esté activo.

En PCs donde la GPU es imprescindible para el arranque (por falta de iGPU), podríamos estar ante miles de configuraciones que, llegado el momento, queden atascadas o requieran flashear un nuevo VBIOS con GOP doblemente firmada (2011+2023) o directamente con la nueva Option ROM UEFI CA 2023. No conviene dar por hecho que todas las BIOS ignorarán la expiración; algunas implementaciones tratarán las fechas de validez de forma estricta.

Fabricantes y ensambladores deberían anticiparse reemitiendo VBIOS para las tarjetas afectadas, pero eso exige tiempo, pruebas y un cierto interés comercial. Por eso la recomendación más prudente es asumir que la expiración causará problemas si no se actúa, en lugar de confiar en que la suerte o la laxitud de los proveedores lo arreglarán.

Cómo está gestionando Microsoft la transición a los certificados 2023

Microsoft no se ha quedado de brazos cruzados esperando a que llegue junio de 2026. Desde febrero de 2024, a través de actualizaciones acumulativas como la KB5036210, ya está desplegando el certificado Windows UEFI CA 2023 y la nueva KEK 2K CA 2023 a la base de datos de arranque seguro de los dispositivos compatibles.

La compañía explica que la actualización de la DB con estas nuevas claves es necesaria para seguir recibiendo futuras versiones de Windows Boot Manager y otras protecciones tempranas. También aclara que la mayoría de los PCs personales recibirán estos certificados automáticamente vía Windows Update, sin que el usuario tenga que hacer nada especial.

Sin embargo, hay una condición muy importante: el firmware UEFI del dispositivo debe aceptar y conservar esas nuevas claves. Si la BIOS está anticuada, no implementa correctamente la gestión de variables de arranque seguro o tiene políticas particulares, puede ocurrir que Windows intente aplicar las nuevas entradas y el equipo acabe en un estado de seguridad degradada, donde parte de la cadena se actualiza y otra parte no.

Para entornos corporativos, Microsoft proporciona indicadores claros. Por ejemplo, en el registro de eventos de Windows, el ID de evento 1808 indica que la aplicación de las nuevas claves ha ido bien, mientras que el evento 1801 señala fallos en ese proceso. Además, hay claves de registro como UEFICA2023Status (que debería marcarse como «Updated») o UEFICA2023Error (que no debería existir salvo que haya un error pendiente).

La recomendación oficial para organizaciones es aplicar primero las actualizaciones de firmware de los OEM y, posteriormente, las relacionadas con Secure Boot en Windows. Así se minimizan los conflictos entre la base predeterminada del firmware y las variables activas modificadas por el sistema operativo.

El papel de los OEM: BIOS, claves por defecto y posibles sustos con BitLocker

Los fabricantes (Dell, Lenovo, HP, LG, ASUS, etc.) están jugando un papel clave en esta transición. Muchos ya han empezado a enviar actualizaciones de BIOS que añaden las nuevas claves de 2023 al almacén por defecto de Secure Boot y, en algunos casos, han optado por una estrategia de doble certificado (mantener 2011 y añadir 2023) en equipos recientes.

A nivel técnico, suele haber dos conjuntos de datos de arranque seguro en la UEFI: las claves activas, que son las que se usan efectivamente en cada arranque y que Windows Update modifica habitualmente, y las claves predeterminadas de fábrica, que se actualizan cuando flasheas una nueva BIOS o cuando eliges restaurar claves por defecto en el firmware.

Algunas acciones en la configuración de la UEFI, como activar el «modo experto de claves» o restaurar valores de fábrica, pueden borrar las variables activas y repoblarlas desde el almacén por defecto. Si ese almacén no incluye los certificados de 2023, podrías perder las nuevas claves que Windows había escrito, volviendo a un estado donde sólo están las CA de 2011 que expiran en 2026.

Fabricantes como Dell describen claramente este flujo y explican que sus equipos recientes se envían ya con doble certificado (2011 y 2023) desde finales de 2024, extendiendo esa práctica a modelos de mantenimiento a lo largo de 2025. Lenovo, por su parte, detalla que en muchos PC comerciales la solución pasa por instalar una BIOS actualizada y luego activar o restaurar las claves predeterminadas de arranque seguro para que las nuevas entradas 2023 queden efectivamente en uso.

HP también advierte de que, sin esa transición, los sistemas podrían dejar de recibir actualizaciones de seguridad ligadas a Secure Boot y Windows Boot Manager, incrementando la exposición a bootkits. Y LG indica que, en la mayoría de sus PCs, la actualización del certificado se realiza automáticamente vía Windows Update, aunque en casos raros puede aparecer una pantalla de recuperación de BitLocker o incluso problemas de arranque, que se resuelven introduciendo la clave de recuperación o desactivando temporalmente Secure Boot en la BIOS.

Caso particular de placas base y PCs «DIY»: cuando toca instalar claves por defecto a mano

Los equipos montados por uno mismo, con placas base destinadas a gaming o entusiastas, son especialmente sensibles porque su comportamiento respecto a Secure Boot a veces no sigue el guion más amigable. Algunos fabricantes documentan procesos bastante manuales para verificar que las nuevas claves de 2023 están cargadas y activas.

ASUS, por ejemplo, ofrece una guía detallada para entrar en la configuración UEFI, navegar a la gestión de claves de arranque seguro y comprobar que en la KEK aparece «Microsoft Corporation KEK 2K CA 2023» y que en la base de datos permitida DB figura el certificado «Windows UEFI CA 2023» junto con otras entradas actualizadas.

En esas mismas guías se sugieren pasos como usar la opción de «instalar claves de arranque seguro por defecto» o «restaurar claves de fábrica» tras actualizar la BIOS. Esto lo que hace realmente es cargar el contenido del almacén predeterminado del firmware, que ya debería incluir las claves de 2023 si has flasheado una versión reciente.

El problema es que muchos usuarios avanzados han jugado con estas opciones en el pasado o han dejado Secure Boot desactivado sin preocuparse demasiado. Tras una actualización de BIOS es posible que Secure Boot se active solo, con las claves nuevas, y Windows seguirá arrancando sin que te enteres, mientras que alguna ROM de opción más antigua podría empezar a fallar de forma sutil.

La moraleja aquí es que, si montas tu propio PC o usas una placa base «de batalla», conviene entrar en la UEFI, revisar el estado de Secure Boot, comprobar qué certificados tienes realmente en la DB y, si el fabricante lo indica, cargar las claves predeterminadas actualizadas tras flashear la BIOS. Es lo que garantizará que las próximas actualizaciones relacionadas con Secure Boot se apliquen como deben.

Cómo comprobar si ya tienes los certificados nuevos y el estado del sistema

Para la mayoría de usuarios domésticos de Windows 11, el trabajo duro lo hace automáticamente Windows Update. Aun así, hay formas de verificar si tu equipo usa ya el nuevo certificado Windows UEFI CA 2023 en la base de datos de arranque seguro.

Una comprobación básica pasa por asegurarse de que Secure Boot está activado. Desde Windows puedes pulsar Windows + R, escribir msinfo32 y fijarte en el campo «Estado de arranque seguro». Si aparece «Activado», la función está en uso; si pone «Desactivado», seguirás arrancando, pero Secure Boot no estará protegiendo nada.

En sistemas donde se quiera afinar más, se puede abrir PowerShell con permisos de administrador y lanzar un comando que lea la base de datos de arranque seguro y la convierta a texto para buscar si aparece la cadena «Windows UEFI CA 2023». Si la salida indica verdadero, querrá decir que tu DB ya contiene el nuevo certificado y que Windows está preparado para seguir validando correctamente su cargador de arranque pasada la fecha de 2026.

En entornos profesionales se puede ir mucho más allá, consultando los registros de arranque medido del TPM (PCR), eventos EV_EFI_VARIABLE_AUTHORITY y analizando qué certificados fueron usados realmente para aprobar binarios durante el último arranque. Existen scripts de PowerShell que cruzan estos datos, identifican, por ejemplo, la GOP de una GPU NVIDIA, y determinan si se ha aprobado utilizando la CA 2011 caducable o una cadena más moderna.

La lógica de interpretación suele ser: si ves «Microsoft Corporation UEFI CA 2011» en la lista de autoridades que aprobaron alguna Option ROM de terceros, estás ante un posible riesgo pasado junio de 2026. Si observas «Windows UEFI CA 2023» para el cargador de Windows, el bootloader en sí estará bien cubierto para los próximos años, aunque la ROM de la GPU pueda seguir siendo problemática si no se actualiza.

Qué deberías hacer como usuario: pasos prácticos y decisiones sensatas

Si eres un usuario normal con un PC relativamente reciente, lo fundamental es no complicarse y seguir una serie de pasos básicos para ir sobre seguro. Lo primero es asegurarte de que Windows Update está completamente al día, incluyendo las actualizaciones acumulativas más recientes para Windows 11.

Además, conviene visitar la web de soporte de tu fabricante (Dell, HP, Lenovo, LG, ASUS, MSI, Gigabyte, etc.) y comprobar si hay actualizaciones de BIOS o firmware recomendadas relacionadas con Secure Boot o con la transición a los certificados de 2023. En muchos casos, los OEM han publicado notas específicas sobre este tema.

Si tu equipo es más antiguo pero sigue en servicio, no está de más revisar si el fabricante ofrece alguna actualización de firmware que añada la nueva cadena de certificados. Para PCs comprados en 2025 o más adelante, en general ya salen de fábrica con las claves de 2023 integradas y no deberías preocuparte demasiado, siempre y cuando no desactives Secure Boot sin necesidad.

En caso de que, tras una actualización, aparezca una pantalla de recuperación de BitLocker pidiéndote la clave, no entres en pánico: suele deberse a cambios en el TPM o en la configuración de arranque. Puedes recuperar la clave desde tu cuenta de Microsoft en la página de recuperación de BitLocker y, una vez desbloqueado el dispositivo, valorar si quieres dejar BitLocker activo o deshabilitarlo desde la configuración de Windows.

Si el PC ni siquiera arranca o se queda colgado antes de mostrar nada, algunos fabricantes recomiendan desactivar temporalmente Secure Boot en la BIOS para poder entrar en el sistema, actualizar drivers, revisar VBIOS de la GPU, etc. Es una solución de emergencia que sacrifica seguridad, pero puede ser necesaria en casos extremos. Lo ideal es volver a activarlo cuando el resto de piezas estén corregidas.

Qué deberían hacer los fabricantes de hardware y por qué te interesa presionarles

Aunque el usuario final puede hacer bastante, hay cosas que sólo están en manos de los fabricantes. En el caso de las GPU, los ensambladores (ASUS, MSI, Gigabyte, Palit, EVGA, Zotac y compañía) y el propio desarrollador del chip (NVIDIA, AMD, etc.) deberían publicar VBIOS actualizados para las tarjetas afectadas, con sus GOP firmadas por la nueva Microsoft Option ROM UEFI CA 2023.

La mejor práctica sería doblemente firmar las GOP con las CA de 2011 y 2023, de modo que las tarjetas sigan funcionando tanto en placas antiguas que todavía dependen de la cadena vieja como en placas modernas que ya sólo confían en la nueva. Esto permitiría una transición mucho más suave y reduciría el riesgo de que un simple cambio de placa base convierta una GPU funcional en un pisapapeles.

En la práctica, no todos los fabricantes tienen el mismo interés en mantener firmware para todas las SKU antiguas. Por eso es útil que la comunidad presione: abrir tickets de soporte, preguntar explícitamente por VBIOS con firmas actualizadas y no aceptar respuestas vagas. Cuanta más presión haya, más probable será que veamos campañas de actualización oficiales y documentadas antes de junio de 2026.

Mientras tanto, si descubres que tu tarjeta muestra sólo firma 2011 en su GOP, tienes que decidir si asumes el riesgo, si planeas cambiarla antes del plazo o si buscas métodos avanzados como confiar manualmente en el hash SHA de tu ROM en la DB de UEFI, algo frágil y que la mayoría de usuarios no va a hacer. Además, esa solución manual sería temporal si en el futuro se revoca por DBX la CA o se cambian políticas de arranque.

En el terreno de los OEM de PCs completos, la tarea pasa por seguir enviando BIOS donde las claves predeterminadas incluyan los certificados de 2023, publicar documentación clara de los pasos a seguir y, sobre todo, asegurar que las restauraciones de fábrica de arranque seguro no tiran por tierra lo que Windows Update ya ha configurado correctamente.

La combinación de caducidad de certificados, nuevos requisitos de Windows 11 (TPM, Secure Boot obligatorio) y herramientas de seguridad cada vez más dependientes de la integridad del arranque está empujando a toda la industria hacia un modelo de confianza de hardware por defecto. Entender cómo te afecta y prever los cambios de aquí a 2026 es la mejor forma de evitar disgustos.

Al final, lo que se juega con la caducidad de los certificados Secure Boot no es sólo si el PC enciende o no, sino hasta qué punto tu equipo seguirá recibiendo las defensas más modernas contra ataques de bajo nivel, si tus tarjetas gráficas seguirán mostrando imagen con Secure Boot activado y si las próximas actualizaciones de Windows y del firmware cooperarán o te dejarán en un limbo de seguridad degradada. Adelantarse, revisar BIOS, comprobar el estado de las claves y presionar a los fabricantes cuando toca es la forma más sensata de llegar a 2026 con los deberes hechos.