Microsoft pide actualizar los certificados de Secure Boot antes de que caduquen en junio de 2026, para evitar que PCs antiguos queden vulnerables a ataques de firmware.
Microsoft lanzó una alerta que afecta a millones de equipos con Windows 11. Y es que los certificados de Secure Boot emitidos en 2011 caducarán en junio de 2026, lo que obliga a los usuarios a actualizarlos antes de esa fecha para mantener la seguridad de sus equipos.
Por lo tanto, los usuarios deberán verificar si sus certificados están actualizados o instalar una actualización manual antes de que llegue el vencimiento.
El problema afecta principalmente a equipos fabricados antes de 2024, que ya incluyen Certificados de 2011 en su BIOS o UEFI. Es decir, los dispositivos más recientes ya vienen con los nuevos certificados integrados y no tienen qué preocuparse del cambio. Sin embargo, los equipos anteriores podrían entrar en un estado de degradación si los certificados expiran sin ser renovados.
De esta forma, el riesgo es real para quienes usan PCs de escritorio o portátiles relativamente antiguos. La consecuencia directa es que el equipo quedaría vulnerable ante ataques de nivel de firmware que podrían comprometer todo el sistema desde el primer momento del arranque.
La actualización de certificados se realiza de forma gradual a través de Windows Update, pero no todos los dispositivos reciben la actualización automáticamente. Microsoft recomienda a los usuarios ejecutar un comando en PowerShell con permisos de administrador para verificar si su equipo ya tiene los nuevos certificados instalados.
El comando es: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Si el resultado es True, tu equipo está protegido. Si el resultado es False, los certificados caducarán en junio y debes actualizarlos manualmente. Así, la verificación es inmediata y no requiere conocimientos técnicos avanzados.
Para actualizar los certificados manualmente, el primer paso es asegurarse de que Secure Boot está habilitado en la BIOS/UEFI. Luego, hay que buscar actualizaciones en Windows Update y, si no aparecen, ejecutar el comando de registro: reg add HKLM\System\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f. Algunos fabricantes como Dell, HP y Lenovo también ofrecen actualizaciones de firmware separadas en sus sitios web oficiales.
