Los certificados de Secure Boot caducan: Cómo usar correctamente la nueva advertencia de Windows | Guía de actualización 2026

Si en los últimos días has visto un aviso pequeño pero llamativo en la configuración de Windows, no eres el único. Microsoft está apretando las tuercas, pero por suerte lo hace de forma útil. Se trata del a menudo malinterpretado Secure Boot. Más concretamente: de los certificados que indican a tu PC qué controladores y cargadores de arranque son de confianza. Estos certificados tienen una fecha de caducidad, y para muchos sistemas esa fecha se acerca peligrosamente. Quien no actúe a tiempo podría encontrarse de repente con una pantalla negra, o peor aún, con un PC que se niega a iniciar Windows.

¿Por qué Windows avisa ahora tan insistentemente?

Antes, este tipo de avisos críticos solo los veías ocultos en el registro de eventos, o ni siquiera eso. Con las últimas actualizaciones (que ya son prácticamente obligatorias para Windows 11 y 10), Microsoft cambia las reglas del juego. El sistema te muestra ahora de forma proactiva: "Oye, tus certificados de Secure Boot necesitan atención". El mensaje no aparece como un molesto pop-up publicitario, sino bien integrado en el Centro de seguridad de Windows. Aunque parezca algo menor, en realidad es un gran avance. Porque muchos usuarios ni siquiera sabían si su Secure Boot estaba activo, y mucho menos que las claves subyacentes caducan al cabo de unos años.

Los certificados que Microsoft distribuye desde Windows 8 se acercan al final de su vida útil. Concretamente: las bases de datos antiguas de Secure Boot (las llamadas entradas "db" y "KEK") dejarán de ser válidas a partir de una fecha determinada. Tu ordenador entonces bloquearía cargadores de arranque extraños o controladores de hardware actualizados, y en el peor de los casos justo después de una gran actualización de Windows. La nueva advertencia es tu salvavidas. Aparece antes de que ocurra el desastre y te da una instrucción clara en esta guía de Secure Boot: "Actualiza ahora tu BIOS/UEFI o instala la última actualización acumulativa".

Cómo realizar una revisión de Secure Boot en tu PC

¿No quieres esperar a la advertencia automática? No hay problema. Una revisión de Secure Boot manual es rápida de hacer. Sigue esta lista de comprobación para asegurarte de que tu sistema arranque correctamente incluso después de la caducidad de los certificados:

• Abrir información del sistema: Pulsa Win + R, escribe msinfo32 y confirma. En "Estado de Secure Boot" debe aparecer "Activado". Si aparece "Desactivado" o "Compatible, pero desactivado", inicia en el BIOS/UEFI (normalmente pulsando F2 o Supr al encender) y activa la opción.
• Comprobar Windows Update: Ve a "Configuración" > "Windows Update" > "Opciones avanzadas" > "Actualizaciones opcionales". Allí encontrarás a menudo actualizaciones de firmware independientes que contienen precisamente la renovación de estos certificados. Instala todo lo que tenga que ver con "Secure Boot" o "Revocación UEFI".
• Usar las herramientas del fabricante: Dell, Lenovo, HP y otros ofrecen sus propios asistentes de actualización. Descarga la imagen más reciente del BIOS/UEFI: muchos equipos a partir de 2020 o 2021 ya incluyen los certificados extendidos. En modelos más antiguos (2016–2019) debes prestar especial atención.

Tras reiniciar, repite la comprobación en msinfo32. Si el estado sigue siendo "Activado" y ya no aparece ningún mensaje de advertencia, estás a salvo. Si, por el contrario, aparece un mensaje de error (p. ej., "Error de revocación de Secure Boot"), a menudo solo queda restablecer manualmente las claves de Secure Boot a los valores de fábrica: lo encontrarás en el menú UEFI, en "Secure Boot > Reset to Setup Mode".

Cómo usar Secure Boot correctamente, sin entrar en pánico

Muchos se preguntan: "¿Realmente necesito aprender cómo usar Secure Boot? ¿No basta con el Windows Defender normal?" Respuesta corta: No. Secure Boot es tu primera línea de defensa contra rootkits y bootkits, es decir, software malicioso que se carga incluso antes del sistema operativo. Aunque introduzcas accidentalmente un USB infectado, un Secure Boot bien configurado evita que el malware tome el control de tu proceso de arranque. La nueva política de advertencia de Microsoft no te obliga a hacer complicados movimientos, sino que te da un empujón amistoso: "Hazlo ahora mismo".

Para los usuarios avanzados que usan arranque dual con Linux u otros sistemas operativos, la caducidad de los certificados puede resultar molesta. En ese caso, tendrás que añadir manualmente las nuevas claves de Microsoft a tu propia base de datos de Secure Boot (la palabra clave es mokutil en Linux) o desactivar temporalmente Secure Boot, algo que solo recomiendo como solución provisional. El método limpio es: cambia a una distribución actualizada que ya tenga firmados los nuevos certificados de Microsoft (Ubuntu 24.04 LTS o Fedora 40+ lo hacen automáticamente).

Una cosa está clara: la época de las caducidades silenciosas de certificados ha terminado. Microsoft ha entendido por fin que la seguridad no puede ser una disciplina oculta para expertos. Si en las próximas semanas ves el cuadro de información amarillo en la configuración de Windows, no lo ignores. Ábrelo, haz clic en "Mostrar detalles" y sigue el asistente. Por lo general, basta con un solo reinicio seguido de la actualización. Tu yo del futuro, que no se encontrará de repente con un ordenador que no arranca, te lo agradecerá.