Microsoft ha iniciado un proceso de actualización que marca un punto de inflexión en la seguridad de arranque de los dispositivos Windows. Tras más de quince años en funcionamiento, los certificados originales de Secure Boot —un componente esencial para garantizar que un PC solo ejecute software confiable desde el momento en que se enciende— comenzarán a expirar a finales de junio de 2026. La compañía ha puesto en marcha un esfuerzo coordinado con fabricantes de hardware y proveedores de firmware para introducir nuevos certificados y asegurar que la cadena de confianza siga siendo sólida en los próximos años.
Secure Boot, incorporado por primera vez en 2011, actúa antes de que el sistema operativo cargue sus componentes. Su función es impedir que código no autorizado o manipulado se ejecute durante el arranque, una fase especialmente sensible en la que los ataques pueden ser difíciles de detectar posteriormente. Este mecanismo se basa en certificados almacenados en el firmware del equipo, y como ocurre con cualquier infraestructura criptográfica, estos deben renovarse periódicamente para evitar que se conviertan en un punto débil frente a amenazas cada vez más sofisticadas.
Un despliegue de gran escala en el ecosistema Windows
La actualización de certificados no es un simple parche. Afecta a millones de dispositivos con configuraciones diversas y requiere coordinación entre Microsoft, los fabricantes de equipos (OEM) y los proveedores de firmware responsables de la interfaz UEFI. La compañía describe este proceso como uno de los mayores esfuerzos de mantenimiento de seguridad realizados en el ecosistema Windows.
Para minimizar riesgos, Microsoft ha introducido nuevas capacidades de servicio que permiten un despliegue gradual y monitorizado. Paralelamente, los OEM han actualizado sus procesos de fabricación para incluir los nuevos certificados en los equipos producidos desde 2024, y prácticamente todos los dispositivos que salieron al mercado en 2025 ya incorporan esta renovación de fábrica.
Los principales fabricantes han destacado la importancia de esta transición. Dell subraya que la planificación conjunta ha permitido contemplar escenarios reales, desde flotas corporativas altamente reguladas hasta dispositivos desplegados en entornos remotos. HP, por su parte, ha puesto el foco en asegurar que las operaciones empresariales no se vean afectadas, mientras que Lenovo destaca la coordinación continua en las fases de planificación, pruebas y despliegue para evitar interrupciones a los usuarios.
Qué ocurre si un dispositivo no recibe los nuevos certificados
La expiración de los certificados de 2011 no provoca fallos inmediatos en los equipos. Los dispositivos seguirán funcionando y podrán ejecutar el software existente. Sin embargo, entrarán en un estado de seguridad degradada: ya no podrán recibir nuevas protecciones a nivel de arranque, lo que los dejará progresivamente más expuestos a vulnerabilidades futuras.
Con el tiempo, esta situación también puede generar incompatibilidades con sistemas operativos, firmware o hardware más recientes, especialmente aquellos que dependan de un entorno de arranque plenamente actualizado.
Microsoft recuerda que los dispositivos con versiones de Windows que ya no reciben soporte —como Windows 10 tras octubre de 2025, salvo quienes estén inscritos en programas de actualizaciones extendidas— no obtendrán los nuevos certificados. La compañía insiste en la importancia de utilizar versiones compatibles del sistema operativo para mantener un nivel adecuado de protección.
Qué deben hacer los usuarios y las organizaciones
Para la mayoría de usuarios domésticos y empresas que permiten que Microsoft gestione las actualizaciones, el proceso será automático. Los nuevos certificados se distribuirán mediante las actualizaciones mensuales de Windows sin necesidad de intervención adicional.
No obstante, algunos dispositivos especializados —como ciertos servidores o equipos IoT— pueden requerir procesos de actualización distintos. En un número reducido de casos, será necesario instalar previamente una actualización de firmware proporcionada por el fabricante antes de que Windows pueda aplicar los nuevos certificados. Microsoft recomienda comprobar las páginas de soporte de cada OEM para asegurarse de que el firmware está al día.
En los próximos meses, la aplicación de Seguridad de Windows mostrará información sobre el estado de los certificados, lo que permitirá a los usuarios conocer si su dispositivo ya ha recibido la actualización.
Las organizaciones que gestionan sus propios entornos pueden distribuir los certificados a través de las actualizaciones mensuales, siempre que los dispositivos proporcionen datos de diagnóstico suficientes para validar su preparación. En entornos donde esto no sea posible, Microsoft ofrece un manual para administradores de TI que detalla cómo planificar, desplegar y supervisar la actualización mediante herramientas de gestión existentes.
Soporte y próximos pasos
Aunque el despliegue se realiza de forma escalonada y con amplias pruebas previas, Microsoft reconoce que la diversidad de modelos y configuraciones puede generar casos puntuales que requieran asistencia adicional. La compañía y los fabricantes han preparado equipos de soporte específicos para ayudar tanto a usuarios particulares como a clientes empresariales.
Las recomendaciones iniciales ante cualquier incidencia son simples: comprobar que el dispositivo tiene instaladas las últimas actualizaciones de Windows y verificar que el firmware está actualizado. Si el problema persiste, los usuarios pueden recurrir a los canales habituales de soporte, mientras que las organizaciones disponen de la documentación técnica y los recursos de asistencia corporativa.
Un cimiento renovado para la seguridad futura
La actualización de los certificados de Secure Boot representa una renovación generacional del mecanismo de confianza que sustenta el arranque seguro de los PCs modernos. Este proceso no solo refuerza la protección actual, sino que prepara el terreno para futuras innovaciones en hardware, firmware y sistemas operativos.
Microsoft destaca que la seguridad en este nivel no es un evento puntual, sino una responsabilidad compartida entre la compañía y todo el ecosistema de fabricantes. La colaboración estrecha, la planificación anticipada y la transparencia han sido claves para asegurar una transición ordenada que permita a los usuarios mantener la confianza en la integridad de sus dispositivos.
Con esta renovación en marcha, Secure Boot seguirá siendo un pilar fundamental de la seguridad en Windows, tanto para los equipos actuales como para la próxima generación de dispositivos.
Fuente: Blog de Windows Microsoft | Editado por CDOL
