Los certificados de Secure Boot caducan: Cómo aprovechar la nueva advertencia de Windows | Guía de actualización 2026
Si en los últimos días has visto un aviso pequeño pero llamativo en la configuración de Windows, no eres el único. Microsoft está apretando las tuercas, pero por suerte, de manera útil. Se trata del Secure Boot, ese mecanismo tan malentendido. Más concretamente: de los certificados que le indican a tu PC qué controladores y cargadores de arranque son confiables. Estos certificados tienen una fecha de caducidad, y para muchos sistemas esa fecha se acerca peligrosamente. Quien no actúe a tiempo podría encontrarse de repente con una pantalla negra, o peor: con una PC que se niega a iniciar Windows.
¿Por qué Windows de repente alerta tan fuerte?
Antes, este tipo de avisos críticos solo los veías ocultos en el registro de eventos, o ni siquiera eso. Con las últimas actualizaciones (que ya son prácticamente obligatorias para Windows 11 y 10), Microsoft cambia las reglas del juego. El sistema te muestra de forma proactiva: "Oye, tus certificados de Secure Boot necesitan atención". El mensaje no aparece como un molesto pop-up publicitario, sino bien integrado en el Centro de seguridad de Windows. Aunque parezca un detalle menor, en realidad es un gran paso. Porque muchos usuarios ni siquiera sabían si su Secure Boot estaba activo, y mucho menos que las claves subyacentes caducan después de unos años.
Los certificados que Microsoft distribuye desde Windows 8 se acercan al fin de su vida útil. En concreto: las bases de datos antiguas de Secure Boot (las entradas "db" y "KEK") dejan de ser válidas a partir de cierta fecha. Tu computadora entonces bloquearía cargadores de arranque ajenos o controladores de hardware actualizados, justo en el peor de los casos después de una gran actualización de Windows. La nueva advertencia es tu salvavidas. Aparece antes de que ocurra el desastre y te da una instrucción clara en esta Guía de Secure Boot: "Actualiza tu BIOS/UEFI ahora o instala la última actualización acumulativa".
Cómo hacer una revisión de Secure Boot en tu PC
¿No quieres esperar la advertencia automática? No hay problema. Hacer una revisión manual de Secure Boot es rápido. Sigue esta lista de verificación para asegurarte de que tu sistema arranque sin problemas incluso después de la caducidad de los certificados:
- Abrir información del sistema: Presiona
Win + R, escribemsinfo32y confirma. En "Estado de Secure Boot" debe decir "Activado". Si dice "Desactivado" o "Compatible, pero desactivado", reinicia en el BIOS/UEFI (generalmente conF2oSupral encender) y activa la opción. - Revisar Windows Update: Ve a "Configuración" > "Windows Update" > "Opciones avanzadas" > "Actualizaciones opcionales". Ahí encontrarás a menudo actualizaciones de firmware independientes que contienen precisamente la renovación de estos certificados. Instala todo lo que suene a "Secure Boot" o "Revocación de UEFI".
- Usar las herramientas del fabricante: Dell, Lenovo, HP y otros ofrecen sus propios asistentes de actualización. Descarga la imagen más reciente del BIOS/UEFI; muchos equipos de 2020 o 2021 ya traen los certificados extendidos. En modelos más antiguos (2016-2019) debes prestar especial atención.
Después de reiniciar, repite la comprobación en msinfo32. Si el estado sigue siendo "Activado" y ya no aparece ningún mensaje de advertencia, estás a salvo. Si aparece un mensaje de error (por ejemplo, "Falló la revocación de Secure Boot"), a menudo solo queda restablecer manualmente las claves de Secure Boot a los valores de fábrica; esto lo encuentras en el menú UEFI bajo "Secure Boot > Reset to Setup Mode".
Cómo usar Secure Boot correctamente, sin entrar en pánico
Muchos se preguntan: "¿Realmente necesito aprender cómo usar Secure Boot? ¿No basta con el Windows Defender normal?" Respuesta corta: No. Secure Boot es tu primera línea de defensa contra rootkits y bootkits, es decir, software malicioso que se carga incluso antes del sistema operativo. Aunque insertes por error una memoria USB infectada, un Secure Boot bien configurado evita que el malware tome el control de tu proceso de arranque. La nueva política de advertencias de Microsoft no te obliga a hacer maniobras complicadas, sino que te da un empujón amigable: "Hazlo ahora mismo".
Para los usuarios avanzados que usan arranque dual con Linux u otros sistemas operativos, la caducidad de los certificados puede ser molesta. En ese caso, tendrás que añadir manualmente las nuevas claves de Microsoft a tu propia base de datos de Secure Boot (pista: mokutil en Linux) o desactivar Secure Boot temporalmente, aunque esto último solo lo recomiendo como solución temporal. La forma limpia es: cambia a una distribución actual que ya tenga firmados los nuevos certificados de Microsoft (Ubuntu 24.04 LTS o Fedora 40+ lo hacen automáticamente).
Una cosa está clara: la era de las caducidades silenciosas de certificados ha terminado. Microsoft por fin ha entendido que la seguridad no debe ser una disciplina oculta para expertos. Si en las próximas semanas ves el cuadro de información amarillo en la configuración de Windows, no lo ignores. Ábrelo, haz clic en "Mostrar detalles" y sigue al asistente. Por lo general, basta con un solo reinicio seguido de la actualización. Tu yo del futuro (el que no se encontrará de repente con una computadora que no arranca) te lo agradecerá.