Actualice sus certificados de arranque seguro de Windows antes de que caduquen: una guía completa

Para los usuarios con PC de más de dos años, se avecina una actualización importante: la expiración de los certificados de Arranque Seguro de Windows en junio de 2026. A medida que sus certificados actuales caduquen, perderán el acceso a actualizaciones cruciales de Arranque Seguro, lo que podría causar problemas de arranque. Aunque Microsoft está lanzando nuevos certificados gradualmente a través de Windows Update, pueden evitar la incertidumbre de esta implementación siguiendo nuestra guía para actualizar manualmente sus certificados de Arranque Seguro hoy mismo.

Comprensión de los certificados de arranque seguro

El Arranque Seguro es una función esencial del firmware UEFI que garantiza que su ordenador arranque únicamente con software firmado digitalmente por fabricantes de confianza. Esta medida de seguridad implica un proceso de autenticación de varios pasos, iniciado mediante el uso de certificados públicos que validan el origen del software antes de ejecutar cualquier código.

El firmware UEFI de su PC almacena una lista de certificados de fabricante, que funcionan de forma similar a las tarjetas de identificación. Estos verifican que el software proviene de una fuente confiable, ofreciendo así una sólida defensa contra entidades maliciosas como bootkits y rootkits, que no pueden operar sin certificados de fabricantes reconocidos.

La importancia de actualizar los certificados de arranque seguro

Al igual que muchos certificados digitales, los certificados de Arranque Seguro tienen fecha de caducidad. La mayoría de las PC fabricadas antes de 2024 utilizan los certificados UEFI CA 2011 de Microsoft Corporation, que caducan en junio de 2026. Una vez que estos certificados caduquen, su dispositivo dejará de recibir actualizaciones del Administrador de Arranque de Windows, lo que deja su sistema vulnerable a amenazas emergentes y dificulta la compatibilidad con nuevo hardware que requiere firmas recientes.

Es fundamental realizar la transición a los certificados UEFI CA 2023 más recientes de Windows. Si bien Microsoft colabora con los fabricantes de equipos originales (OEM) para facilitar esta transición mediante actualizaciones de Windows, actualizar manualmente los certificados con mayor antelación ofrece varias ventajas:

No hay garantía de que Microsoft implemente estos certificados en su dispositivo específico antes de la fecha de vencimiento; la implementación se prioriza en función de la importancia del dispositivo, lo que podría dejarlo esperando indefinidamente.
Los certificados de 2011 anteriores son susceptibles a vulnerabilidades como el bootkit BlackLotus, que puede evadir el Arranque Seguro. Actualizar ahora refuerza su seguridad al instante.
Si las actualizaciones de Windows están deshabilitadas o si prefiere un enfoque más práctico para administrar las actualizaciones, es necesaria la instalación manual de los certificados.
Actualizar sus certificados según su cronograma garantiza que su unidad de recuperación siga funcionando, evitando posibles problemas en el futuro.

Si bien la falta de una actualización inmediata del certificado no le impedirá utilizar su PC, sí aumenta los riesgos de seguridad e impide futuras actualizaciones del sistema.

Cómo verificar los certificados de arranque seguro de su PC

Es posible que Microsoft haya preactivado los nuevos certificados en su PC. Puede comprobarlo fácilmente con PowerShell.

Para comenzar, busque “PowerShell” en la barra de búsqueda de Windows, haga clic derecho en Windows PowerShell y seleccione Ejecutar como administrador.

A continuación, ingrese el siguiente comando:

[System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Ejecutar comando para verificar certificados de arranque seguro

Si el resultado es «True», su certificado está actualizado y no se requiere ninguna acción adicional. Si es «False», es momento de actualizar los certificados.

Pasos para instalar los certificados de arranque seguro 2023

Es probable que los certificados UEFI CA 2023 de Windows ya estén presentes en su PC. Se incluyeron en la actualización acumulativa de Windows 11 de febrero de 2024, pero permanecen inactivos. Si su sistema se actualizó después de la versión de febrero de 2024, puede activarlos siguiendo estos pasos:

Una vez más, inicie PowerShell como administrador y ejecute este comando:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Implementación de certificados de arranque seguro 2023

Este comando modifica el Registro para preparar el escenario para la implementación de los certificados 2023. La 0x5944máscara de bits del comando activa seis instrucciones que preparan su PC para la instalación de Windows UEFI CA 2023.

Para ejecutar las instrucciones recién configuradas, emita el siguiente comando en PowerShell:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Este comando inicia las tareas necesarias para instalar los certificados durante el siguiente ciclo de arranque, incluyendo comprobaciones de compatibilidad y la reubicación de los nuevos certificados desde la carpeta WinSxS al área de almacenamiento temporal correspondiente. Es posible que note una ligera congelación en su PC mientras se procesa este comando.

Es fundamental reiniciar Windows dos veces. Es fundamental reiniciar el PC en lugar de simplemente apagarlo y encenderlo. Si el Inicio rápido está habilitado, apagarlo no borrará la memoria por completo como se requiere para que estos cambios surtan efecto.

¡Felicitaciones! Su PC ahora cuenta con los últimos certificados de Arranque Seguro, válidos hasta 2038. Si bien no debería tener ningún problema, si surgen complicaciones, consulte las guías para resolver problemas de inicio de Windows o gestionar bucles de arranque infinitos.

Fuente e imágenes