Hay un reloj corriendo en millones de PCs con Windows y la mayoría de sus dueños no lo saben. Los certificados Secure Boot de Windows, emitidos en 2011 y presentes en prácticamente todos los equipos vendidos desde entonces, comienzan a caducar en junio de 2026. Es la primera vez en 15 años que estos certificados llegan a su fecha límite, y el operativo que Microsoft ha puesto en marcha junto a los fabricantes de hardware para gestionarlo no tiene precedentes.
Qué es Secure Boot y por qué importa ahora
Secure Boot es una función de seguridad integrada en el firmware UEFI de tu PC. Actúa antes de que Windows empiece a cargarse y verifica que el gestor de arranque y los componentes iniciales del sistema estén firmados por una entidad de confianza. Si algo no cuadra, el equipo no arranca. Así se bloquean los llamados bootkits, un tipo de malware especialmente peligroso porque se instala antes que el propio sistema operativo y puede pasar completamente desapercibido para el antivirus.
El problema concreto es que tres de los certificados que sostienen esta cadena de confianza van a expirar. El Microsoft Corporation KEK CA 2011 y el Microsoft UEFI CA 2011 caducan en junio de 2026, mientras que el Microsoft Windows Production PCA 2011 lo hace en octubre de este mismo año. Una vez expirados, el PC no puede validar nuevas actualizaciones de seguridad para el proceso de arranque. Según el soporte oficial de Microsoft, el equipo seguirá arrancando con normalidad, pero quedará congelado en el nivel de protección que tenía en la fecha de caducidad, sin posibilidad de recibir nuevas defensas ante futuras amenazas.
Cómo comprobar el estado de tus certificados Secure Boot
Microsoft actualizó la aplicación Seguridad de Windows en abril de 2026 para mostrar el estado de los certificados directamente en la interfaz. Para comprobarlo, abre Seguridad de Windows, ve a Seguridad del dispositivo y busca la sección Arranque seguro. Allí verás un icono con tres posibles estados. También puedes acceder pulsando la tecla de Windows + R y escribiendo msinfo32 -> Enter.
Un icono verde con el texto «Arranque seguro activado y todas las actualizaciones de certificados requeridas aplicadas» significa que no tienes que hacer nada. Si es amarillo, indica que la actualización está pendiente, normalmente porque el firmware del equipo necesita una actualización previa del fabricante. Un icono rojo señala que hay un problema que requiere atención inmediata, habitualmente porque el hardware no puede recibir los nuevos certificados de forma automática.
Ojo con un detalle importante que comenta Microsoft. El icono verde por sí solo no confirma que los certificados estén actualizados. Hay que leer también el texto que lo acompaña. Si no menciona explícitamente que los certificados han sido aplicados, conviene revisar si hay actualizaciones de firmware pendientes en la web del fabricante de tu PC.
Los 400 millones de PCs bloqueados de Windows 11 son los más vulnerables
Para la mayoría de usuarios con Windows 11 al día, el proceso será automático y transparente. Microsoft distribuye los nuevos certificados UEFI CA 2023 a través de Windows Update, igual que cualquier otra actualización mensual. Algunos equipos más antiguos necesitarán además una actualización de firmware del fabricante antes de que la transición pueda completarse.
El escenario más delicado afecta a quienes siguen en Windows 10 sin haberse apuntado al programa de Actualizaciones de Seguridad Ampliadas (ESU). Microsoft finalizó el soporte oficial de Windows 10 en octubre de 2025, y los equipos sin ESU no recibirán los nuevos certificados por ningún canal. Ya existen unos 400 millones de PCs bloqueados para actualizar a Windows 11 por los requisitos de hardware, como el TPM 2.0, y ahora también quedarán al margen de esta renovación de seguridad. Su protección en el arranque se irá quedando obsoleta con el tiempo, sin posibilidad de recibir parches ante nuevas vulnerabilidades en la cadena de arranque.
La buena noticia es que el programa ESU sigue abierto hasta el 14 de octubre de 2026. Inscribirse antes de esa fecha garantiza recibir los nuevos certificados a través de Windows Update, además de un año adicional de actualizaciones de seguridad. Si tienes un PC con Windows 10 que no puede saltar a Windows 11, apuntarte al ESU es la opción más práctica para mantener el arranque protegido. En nuestro sitio puedes leer más sobre cómo alargar un año más la vida de Windows 10 con este programa.
Qué pasa si tienes Windows 11 instalado saltándote los requisitos
Hay otro grupo de usuarios en una situación complicada. Los que instalaron Windows 11 desactivando Secure Boot para saltarse los requisitos oficiales. En esos equipos, los nuevos certificados no pueden aplicarse correctamente. La app de Seguridad de Windows mostrará un icono rojo y, en la práctica, el PC quedará en la misma situación que uno con Windows 10 sin ESU. Desactivar Secure Boot para «arreglar» algo es precisamente lo contrario de lo que conviene hacer, ya que elimina la protección por completo en lugar de actualizarla.
Para quienes tengan dudas sobre la configuración de Secure Boot en su BIOS o UEFI, puede ser útil repasar nuestra experiencia práctica con la configuración del CSM y Secure Boot, donde se explican algunos de los escenarios más habituales al cambiar de placa base o reinstalar el sistema.