A partir de 2026, millones de PC podrían dejar de arrancar correctamente debido a la caducidad de los certificados Secure Boot utilizados desde 2011. Tanto Windows como Linux se verán afectados: sin las nuevas claves publicadas por Microsoft, el gestor de arranque se congelará. La buena noticia es que existe una solución sencilla para anticiparse hoy a este problema y evitar acabar con un ordenador inutilizable.
¿Qué es el arranque seguro?
Secure Boot es una tecnología integrada en la UEFI (que sustituye a la BIOS tradicional) que asegura la secuencia de arranque de un ordenador. Cuando está activada, comprueba que cada componente cargado al principio (como el gestor de arranque o las aplicaciones EFI) esté firmado digitalmente por una autoridad de confianza. Su función es impedir que el software malicioso se ejecute incluso antes que el sistema operativo.
El mecanismo se basa en varias bases de datos clave almacenadas en la UEFI:
- PK (Platform Key): la clave principal, que da la autoridad para gestionar la plataforma.
- KEK (Key Exchange Key): las claves que autorizan la actualización de las listas de aprobación y revocación.
- db (Base de datos): la lista de firmas autorizadas (cargadores de arranque y aplicaciones EFI válidos).
- dbx (Database of eXcluded signatures): la lista negra que bloquea los binarios vulnerables o comprometidos.
La mayoría de los ordenadores ya contienen certificados de Microsoft en la db y KEK. Estos se utilizan para validar el gestor de arranque de Windows y los cargadores de Linux (a través de shim/GRUB) y para recibir actualizaciones de seguridad de Secure Boot. Gracias a este sistema de firmas, la integridad del arranque está garantizada incluso antes de que se cargue el sistema operativo, lo que reduce enormemente el riesgo de ataques a nivel de firmware.
¿Por qué 2026 es una fecha crítica para Secure Boot?
Los certificados de Microsoft incorporados al firmware desde 2011 están a punto de caducar. Hay dos fechas especialmente importantes: junio de 2026 (fin de Microsoft UEFI CA 2011) y octubre de 2026 (fin de Windows Production PCA 2011). Después de estas fechas, las claves actualmente en uso dejarán de ser reconocidas como válidas por Secure Boot.
- Sin Windows UEFI CA 2023, Windows ya no podrá arrancar.
- Sin Microsoft UEFI CA 2023, las distribuciones de Linux (GRUB, shim) y las aplicaciones EFI de terceros no se cargarán.
- Sin la CA 2023 KEK, las actualizaciones de Secure Boot a través de Windows Update ya no se pueden aplicar.
Un ordenador no preparado mostrará mensajes de violación de arranque seguro al arrancar, impidiendo que el sistema operativo se inicie.
Microsoft prepara la transición para los PC compatibles
Para evitar un corte brusco en 2026, Microsoft ya ha iniciado la transición a los nuevos certificados. Desde 2024, actualizaciones específicas (KB5036210) han desplegado automáticamente Windows UEFI CA 2023 y Microsoft Corporation KEK CA 2023 en máquinas compatibles. Estos certificados se registran directamente en las bases de datos UEFI Secure Boot (db y KEK).
El proceso es transparente para la mayoría de los usuarios:
- Se añade automáticamente a la base de datos db y permite que Windows siga arrancando después de 2026.
- Se añade automáticamente a la base de datos KEK, garantizando que se puedan seguir aplicando futuras actualizaciones de Secure Boot.
Sin embargo, esta automatización tiene sus límites. Los ordenadores que sólo funcionan con Linux no recibirán estos parches a través de Windows Update. Del mismo modo, algunos ordenadores antiguos que han sido abandonados por su fabricante pueden no recibir actualizaciones de firmware que incorporen las nuevas claves. En estos casos, la adición manual de certificados 2023 sigue siendo esencial para garantizar la compatibilidad más allá de 2026.
Nuevos certificados para instalar en su máquina
Para garantizar la continuidad de Secure Boot tras la expiración de las antiguas claves en 2026, Microsoft ha publicado tres nuevos certificados. Sustituyen directamente a los de 2011 y garantizan la compatibilidad para Windows, Linux y aplicaciones EFI de terceros. Estos archivos están disponibles oficialmente en el sitio de Microsoft y pueden descargarse ya para integrarlos manualmente en caso necesario.
| Nombre del certificado | Uso | Enlace de descarga |
|---|---|---|
| Microsoft Corporation KEK CA 2023 (Clave de intercambio de claves) | Autoriza las actualizaciones db/dbx. | Descargar KEK CA 2023 |
| Windows UEFI CA 2023 | Se utiliza para el gestor de arranque de Windows | Descargar Windows UEFI CA 2023 |
| Microsoft UEFI CA 2023 | Se utiliza para firmar cargadores de arranque de terceros, aplicaciones EFI, etc. | Descargar Microsoft UEFI CA 2023 |
Si su equipo no recibe automáticamente los nuevos certificados a través de Windows Update o una actualización del firmware, puede añadirlos usted mismo. El procedimiento es bastante sencillo y puede realizarse desde el menú UEFI del ordenador.
- Empieza por copiar los tres archivos .crt en una memoria USB formateada en FAT32.
- A continuación, reinicie su PC y entre en la BIOS/UEFI.
- En los menús de seguridad, abra la sección Arranque seguro → Gestión de claves.
- Elija la opción Inscribir clave o Inscribir certificado y navegue por la llave USB para seleccionar los archivos que desea importar.
- Una vez cargados los certificados, confirme el registro, guarde los cambios y reinicie la máquina.
Tu UEFI tendrá ahora las nuevas claves de Microsoft, garantizando un arranque seguro más allá de 2026.
Prepara tu PC para evitar el bloqueo de Secure Boot en 2026
La fecha límite de 2026 marcará un punto de inflexión para Secure Boot. Cuando caduquen los certificados de 2011, un ordenador que no se haya actualizado puede simplemente negarse a arrancar. Se trata de un riesgo real que es mejor prever ahora que descubrir en el momento crítico.
La buena noticia es que la mayoría de los PC con Windows recibirán automáticamente los nuevos certificados a través de Windows Update, sin intervención del usuario. En cambio, para las máquinas que sólo funcionan con Linux o para algunos equipos más antiguos que ya no se benefician de las actualizaciones del fabricante, la importación manual sigue siendo un paso esencial.
Dedicando unos minutos a comprobar sus claves y añadir certificados Microsoft 2023 si es necesario, puede asegurarse de que su puesta en marcha siga siendo fiable y segura más allá de 2026.
