Microsoft empujó Actualización del certificado de arranque seguro 2023 En todas las PC elegibles con Windows 11 y Windows 10, unas horas antes de que llegue la primera fecha de vencimiento el 24 de junio de 2026. Recibimos una declaración de Microsoft que confirma la implementación más amplia: “Con esta actualización, el estándar de Windows actualiza datos adicionales de orientación de dispositivos de alta confianza, ampliando la cobertura de dispositivos elegibles para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben nuevos certificados solo después de demostrar suficientes señales de actualización exitosa, manteniendo una implementación controlada y gradual”.
Si su PC recibió la actualización del martes de parches de junio de 2026, es muy probable que las credenciales de Secure Boot 2023 ya hayan llegado a su dispositivo sin que usted haga nada. A continuación se explica cómo comprobarlo y qué hacer si su PC muestra una advertencia.
¿Qué es la actualización del certificado de arranque seguro?
El arranque seguro es una característica de seguridad a nivel de firmware que se ejecuta antes de que Windows comience a cargarse. Verifica la firma digital de cada componente de arranque, evitando que rootkits y bootkits entren en la cadena de inicio. Los certificados anteriores para este sistema se emitieron en 2011 y Microsoft Corporation KEK CA 2011 vence el 24 de junio de 2026, seguido de Microsoft UEFI CA 2011 el 27 de junio y Microsoft Windows Production PCA 2011 el 19 de octubre de 2026.
Para que Secure Boot funcione para futuras actualizaciones de seguridad después de esta fecha, Microsoft está implementando certificados 2023 de reemplazo a través de Windows Update a partir de 2024. La actualización de junio de 2026 amplió significativamente el grupo de dispositivos elegibles, moviendo la gran mayoría de las PC compatibles a lo que Microsoft llama la categoría de “alta confianza, se puede actualizar automáticamente”.
Cómo comprobar si tu PC tiene certificado Secure Boot 2023
La forma más rápida de verificarlo es a través de la aplicación de seguridad de Windows, una característica que Microsoft agregó en la actualización de Windows 11 de abril de 2026. Abra Seguridad de Windows, haga clic en Seguridad del dispositivo en el menú de la izquierda y luego desplácese hasta la sección Arranque seguro. Verá uno de los tres indicadores de estado.
Una marca de verificación verde con el mensaje Se han aplicado todas las actualizaciones de certificado requeridas significa que su PC está completamente actualizada y no es necesario realizar ninguna acción.
Una alerta amarilla significa que hay actualizaciones pendientes. Es posible que su dispositivo requiera más datos compatibles o que el fabricante de su PC requiera una actualización del BIOS antes de instalar el certificado. Microsoft automáticamente seguirá intentando impulsarlo.
Una advertencia roja indica un problema específico que está bloqueando la actualización, generalmente una incompatibilidad de firmware. En ese momento, consulte la página de soporte del fabricante de su PC para obtener una actualización del BIOS.
Especialmente para los usuarios de HP, una actualización de BIOS defectuosa de HP a principios de este año provocó bucles de recuperación de BitLocker, así que busque una versión de BIOS parcheada en lugar de asumir que la última es segura.
Si falta la sección Arranque seguro en Seguridad del dispositivo, es probable que su PC tenga el Arranque seguro deshabilitado o instalado mediante una omisión del registro en hardware no compatible. Hemos cubierto en detalle lo que esto significa para el arranque seguro en PC más antiguas y no compatibles.
Si prefiere una forma más tradicional de verificar el estado de arranque seguro, abra Información del sistema (presione Win + R, escriba msinfo32, presione Entrar) y busque la línea Estado de arranque seguro en Resumen del sistema. Para una auditoría a nivel de registro o PowerShell, publicamos una Guía completa de verificación de arranque seguro a principios de este año.
¿Qué pasa si su PC no recibe la actualización de Arranque seguro?
Aunque es poco común, no tener un certificado de arranque seguro actualizado no significa que su PC haya dejado de funcionar. Microsoft ha confirmado que los dispositivos sin un certificado 2023 seguirán arrancando normalmente y recibirán actualizaciones periódicas de Windows. Sin embargo, lo que hace es la capacidad de recibir futuras actualizaciones de seguridad a nivel de arranque, incluidas retiradas de cargadores de arranque maliciosos recién descubiertos y correcciones de vulnerabilidades como el kit de arranque BlackLotus. La degradación de la seguridad es gradual, no instantánea.
Para la mayoría de los usuarios domésticos que utilizan hardware moderno, la actualización se realiza automáticamente y no hay nada que hacer. Si su PC muestra una advertencia amarilla, basta con esperar el próximo ciclo de Windows Update. Microsoft continúa ampliando la cobertura de dispositivos con cada actualización mensual.
Si está pensando en el arranque seguro en una PC más antigua donde el fabricante dejó de enviar actualizaciones de BIOS, las posibilidades de obtener la certificación 2023 son bastante bajas.
Las actualizaciones de Secure Boot 2023 han fallado en algunas PC debido a incompatibilidades de firmware y, para esos dispositivos, es posible que no haya una solución sencilla. La prioridad para estos usuarios es comprobar si existe una actualización del BIOS antes de intentar cualquier intervención manual.
Es posible que su PC se reinicie dos veces después de la actualización y esto es normal
Algunos usuarios han notado que su PC se reinicia dos o tres veces después de una actualización reciente de Windows y asumieron que algo salió mal. Microsoft ha confirmado que este es el comportamiento esperado, particularmente debido al proceso del certificado de arranque seguro. Cada uno requiere un reinicio por separado para escribir el nuevo certificado en el firmware, luego aplicar el administrador de inicio actualizado y luego iniciar Windows con la nueva cadena. Si su PC se reinicia varias veces después de la actualización de junio, está funcionando correctamente.
La carpeta SecureBoot de Windows no es un virus
Durante la actualización de mayo de 2026, muchos usuarios notaron una nueva carpeta en C:WindowsSecureBoot y se preocuparon, pensando que era malware. Microsoft ha confirmado que esto no es un error y no debes eliminarlo. Windows utiliza la carpeta para preparar archivos de certificados criptográficos antes de escribirlos en el firmware.
Los usuarios de Windows 10 también recibirán la actualización Secure Boot
El hecho de que Windows 10, que ha llegado al final de su vida útil, todavía reciba actualizaciones de arranque seguro es una prueba de lo importante que es este cambio. Los usuarios inscritos en el programa de actualización de seguridad extendida de Windows 10 comenzaron a recibir informes de estado de arranque seguro a partir de la actualización KB5087544 de mayo de 2026. El proceso de actualización es idéntico en ambos sistemas operativos. Si está en Windows 10 y ya no recibe actualizaciones porque no está en el programa ESU, las actualizaciones de certificados no se enviarán a través de Windows Update.
Por supuesto, inscribirse en ESU significa que debe cambiar de una cuenta local a una cuenta de Microsoft en su PC con Windows 10.
Los usuarios de Windows 11 también deben saber que Windows ha probado y cubierto todo lo nuevo en la última actualización de junio de 2026, la actualización que trajo la implementación más amplia hasta el momento de certificados de arranque seguro.
Para administradores de TI: lo que significa la fecha límite de inicio del 24 de junio
El vencimiento del 24 de junio de Microsoft Corporation KEK CA 2011 significa que Microsoft perderá la capacidad de firmar nuevas cargas útiles de revocación de arranque seguro (actualizaciones DBX) con claves antiguas. Todas las cargas útiles firmadas y los métodos de implementación manual existentes continúan funcionando. La clave DB no vence hasta el 19 de octubre, por lo que Microsoft aún puede contratar nuevos administradores de arranque. Microsoft organizó dos sesiones AMA detalladas con ingenieros específicamente para administradores de TI que cubrieron grupos de confianza de dispositivos, monitoreo de Intune, escenarios de arranque PXE y alertas con máquinas virtuales. Para la gestión de flotas empresariales, aka.ms/GetSecureBoot Quedan recursos centrales.
Para los dispositivos en el depósito suspendido, el camino a seguir es una actualización del BIOS por parte del OEM. No se recomienda forzar una actualización mediante claves de registro en un dispositivo en pausa sin actualizar primero el firmware y puede provocar una falla en el arranque o la recuperación de BitLocker.
