SIINCO
seguridad·

Los certificados de arranque seguro de tu PC vencen en junio de 2026: lo que tu empresa debe hacer ahora

Los certificados de arranque seguro de tu PC vencen en junio de 2026: lo que tu empresa debe hacer ahora

Si tu empresa usa computadoras con Windows, hay algo que necesitas saber: los certificados de seguridad que protegen el arranque de tus equipos están por vencer. No es un virus, no es una falla — es un cambio planificado por Microsoft que afecta a millones de computadoras en todo el mundo, y si no se atiende, tus equipos quedarán expuestos.

Te explicamos qué está pasando, por qué importa, y qué puedes hacer al respecto.

¿Qué es Secure Boot y por qué debería importarte?

Cada vez que enciendes tu computadora, antes de que Windows aparezca en pantalla, existe un proceso de verificación que se asegura de que nadie haya modificado el software de arranque de tu equipo. Este proceso se llama Secure Boot (arranque seguro) y es parte del firmware UEFI de tu computadora.

Secure Boot funciona como un vigilante en la puerta: revisa que cada pieza de software que se carga al encender tu PC tenga una firma digital válida, emitida por una autoridad de confianza. Si algo no cuadra — por ejemplo, si un malware intentó modificar el arranque — Secure Boot lo bloquea.

Esta protección es especialmente importante porque los ataques al arranque del sistema (conocidos como "bootkits") son de los más peligrosos que existen: se cargan antes que tu antivirus y pueden ser prácticamente invisibles.

¿Qué está pasando con los certificados?

Los certificados que Secure Boot usa para verificar las firmas digitales fueron emitidos por Microsoft en 2011, cuando se lanzó esta tecnología con Windows 8. Como cualquier certificado digital, tienen fecha de vencimiento.

Estas son las fechas clave:

  • Junio 2026: Vencen el Microsoft Corporation KEK CA 2011 y el Microsoft Corporation UEFI CA 2011.
  • Octubre 2026: Vence el Microsoft Windows Production PCA 2011, que firma el propio cargador de arranque de Windows.

Microsoft ya preparó los reemplazos: una nueva familia de certificados con fecha 2023 que sustituye a los anteriores. Sin embargo, estos nuevos certificados necesitan ser instalados en cada equipo antes de que los anteriores venzan.

¿Qué pasa si no se actualiza?

Tu computadora no va a dejar de encender el 27 de junio de 2026. Pero sí va a entrar en lo que Microsoft llama un "estado de seguridad degradada". En términos prácticos esto significa:

  • No podrá recibir actualizaciones de seguridad del arranque. Las correcciones futuras contra vulnerabilidades del proceso de arranque no se instalarán.
  • Queda expuesta a ataques de bootkit. Amenazas como BlackLotus, el primer bootkit capaz de evadir Secure Boot en sistemas completamente actualizados, demostró lo peligroso que es no tener esta protección al día.
  • Componentes de terceros podrían dejar de funcionar. Drivers de tarjetas de red, gráficas y otros componentes firmados con los certificados nuevos podrían no ser reconocidos.
  • BitLocker y otras protecciones de cifrado pueden verse afectadas. Las mitigaciones que dependen de Secure Boot dejarán de actualizarse.

El equipo sigue funcionando, sí — pero cada día que pasa sin los certificados actualizados es un día más de exposición.

¿Qué equipos están afectados?

Prácticamente cualquier computadora con Windows fabricada desde 2012 que tenga Secure Boot habilitado. Esto incluye:

  • Laptops y desktops con Windows 10 y Windows 11
  • Servidores con Windows Server
  • Máquinas virtuales con Secure Boot habilitado

Las buenas noticias: muchos equipos fabricados desde 2024 ya vienen con los certificados nuevos. El problema está en los equipos más antiguos que llevan años funcionando sin actualizarse — exactamente el tipo de equipos que tienen la mayoría de las PyMEs mexicanas.

¿Cómo saber si tus equipos necesitan actualización?

Hay varias formas de verificar:

Desde PowerShell (como administrador):

Confirm-SecureBootUEFI

Si devuelve True, Secure Boot está habilitado y tus equipos necesitan la actualización de certificados.

Desde el registro de Windows:

Busca la clave UEFICA2023Status en:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

Si el valor es "updated", tu equipo ya tiene los certificados nuevos. Si no existe o dice otra cosa, necesita actualización.

Sin embargo, si tienes más de 5 equipos, lo más práctico es que un profesional revise el estado de todos tus equipos de manera centralizada y aplique las actualizaciones necesarias.

¿Qué hay que hacer?

El proceso de actualización involucra varios pasos que deben hacerse en orden:

  1. Actualizar el firmware (BIOS/UEFI) del equipo a la última versión del fabricante (Dell, HP, Lenovo, etc.). Algunos fabricantes ya incluyen los certificados nuevos en sus actualizaciones de firmware.
  2. Permitir que Windows Update instale los certificados nuevos. Microsoft está distribuyendo los certificados de 2023 a través de Windows Update, pero en algunos casos las políticas de la empresa o la configuración del equipo pueden estar bloqueando esta actualización.
  3. Verificar que los certificados se instalaron correctamente. Después de la actualización, confirmar que tanto el KEK como el DB de Secure Boot tienen los certificados de 2023.
  4. No desactivar Secure Boot. Microsoft advierte expresamente que desactivar Secure Boot no es una solución — al contrario, elimina toda la protección contra malware de arranque.

¿Y si mis equipos son muy antiguos?

Aquí es donde se complica. Equipos con más de 8-10 años podrían no recibir actualizaciones de firmware del fabricante. En esos casos:

  • El equipo seguirá funcionando pero sin protección de arranque actualizada.
  • No hay forma de instalar los certificados nuevos si el firmware no lo soporta.
  • Puede ser el momento de evaluar la renovación de esos equipos — no solo por los certificados, sino por seguridad en general.

¿Cómo puede ayudarte SIINCO?

En SIINCO podemos revisar el estado de Secure Boot de todos los equipos de tu empresa, aplicar las actualizaciones necesarias y asegurarnos de que tu infraestructura esté protegida antes de junio de 2026.

Lo que hacemos:

  • Diagnóstico del estado de Secure Boot y certificados en todos tus equipos.
  • Actualización de firmware BIOS/UEFI según el fabricante.
  • Instalación y verificación de los certificados de 2023.
  • Reporte con el estado de cada equipo y recomendaciones.
  • Identificación de equipos que no pueden actualizarse y opciones de reemplazo.

Si tienes una póliza de mantenimiento con nosotros, esta revisión está incluida. Si no, podemos realizarla como un servicio independiente.

Contáctanos y agenda una revisión de tus equipos.

No esperes a junio. Cuanto antes se actualicen, menos riesgo para tu empresa.

Referencias

  1. Microsoft. "Secure Boot playbook for certificates expiring in 2026." Windows IT Pro Blog, 24 de marzo de 2026.
  2. Microsoft. "Act now: Secure Boot certificates expire in June 2026." Windows IT Pro Blog, 14 de enero de 2026.
  3. Microsoft Support. "Windows Secure Boot certificate expiration and CA updates."
  4. Microsoft Support. "When Secure Boot certificates expire on Windows devices."
  5. Richard M. Hicks. "Windows Secure Boot UEFI Certificates Expiring June 2026." Richard M. Hicks Consulting, 4 de diciembre de 2025.
  6. Dell. "Secure Boot Transition FAQ." Dell Support, marzo 2026.
  7. XDA Developers. "Microsoft's Secure Boot certificates expire in June 2026, but older PCs may never get the fix." Marzo 2026.
  8. Red Hat. "Secure Boot certificate changes in 2026: Guidance for RHEL environments." Red Hat Developer, 4 de febrero de 2026.

¿Tienes preguntas? Escríbenos

Contactar por WhatsApp →
Escríbenos por WhatsApp