SecureBoot en Windows: Caducidad de certificados en Junio

La actualización de junio de 2026 sobre Secure Boot en PCs y servidores consiste en la caducidad de certificados digitales antiguos de Microsoft (2011) utilizados para firmar el firmware UEFI, lo que podría impedir que los sistemas arranquen si no se actualizan a los nuevos certificados de 2023; afectará a equipos antiguos, especialmente a tarjetas gráficas con UEFI GOP sin firmar para 2026, causando pantallas en negro y pérdida de actualizaciones de seguridad si no se parchean mediante actualizaciones de BIOS/firmware de los fabricantes (Dell, Lenovo, etc.).

¿En qué consiste?

• Caducidad de certificados: Microsoft retirará y hará caducar los certificados de firma de arranque seguro (UEFI CA 2011, KEK 2011) que se usaron durante años. Estos certificados se utilizan para validar el cargador de arranque
• Necesidad de nuevos certificados: Para mantener Secure Boot activo, los dispositivos deben aceptar y usar los certificados más nuevos de 2023, que ya están disponibles (Microsoft UEFI CA 2023). Esto permite evitar vulnerabilidades asociadas a certificados antiguos y mantiene la cadena de confianza actualizada
• Verificación: Secure Boot usa estos certificados para verificar que el firmware y los drivers (como los de la GPU) son legítimos antes de cargar Windows, evitando malware

¿Cómo funciona Secure Boot?

• Al encender el ordenador, primero arranca el firmware UEFI
• Después, se verifica la firma del cargador de arranque
• Seguidamente, se validan los drivers y el firmware. Solo permite ejecutar código firmado por certificado válidos, evitando que alguien pueda cargar malware o arrancar el ordenador desde una unidad externa con software malicioso

¿Cómo afecta a PCs y Servidores?

• Problemas de arranque: Los PCs y servidores que no se actualicen podrían no pasar el POST (Power-On Self-Test) y mostrar una pantalla negra al arrancar, ya que el firmware no reconocerá los componentes (especialmente las GPUs antiguas) como confiables.
• Tarjetas Gráficas (GPU): Las tarjetas gráficas más antiguas con VBIOS UEFI podrían no ser firmadas con los nuevos certificados, afectando su compatibilidad.
• Pérdida de seguridad: Sin la actualización, los dispositivos no podrán confiar en nuevos cargadores de arranque ni recibir actualizaciones críticas, comprometiendo su seguridad.
• Acción requerida: Fabricantes como Dell y Lenovo están preparando actualizaciones de BIOS/UEFI para implementar los nuevos certificados. Los usuarios deben estar atentos a estas actualizaciones para sus equipos.
• Sistemas afectados: Principalmente equipos más antiguos que no recibieron las actualizaciones de firmware, aunque también afecta a algunos servidores.

Solución

• Actualizar el BIOS/UEFI: Los fabricantes (Dell, Lenovo, HP, etc.) liberarán actualizaciones de firmware que incorporan los nuevos certificados de 2023.
• Instalar la actualización: Es crucial instalar estas actualizaciones, ya sea manualmente o a través de Windows Update, para mantener la funcionalidad de Secure Boot.
• Sistemas nuevos: Los equipos más recientes (comprados en 2025) suelen venir con los certificados actualizados y no deberían tener problemas.