Cómo hacer, Noticias

Tu Windows dejará de recibir actualizaciones de seguridad en junio de 2026

por Stefan Dasic | 28 de mayo de 2026
Windows un ordenador portátil

Se está implementando una actualización de los certificados de arranque seguro en todos Windows compatibles a través de Windows . En junio de 2026, los certificados de arranque seguro que se incluyen en Windows 2011 comenzarán a caducar, y Microsoft los está sustituyendo por nuevos certificados con fecha de 2023.

La buena noticia: si mantienes tu PC actualizado, probablemente no tendrás que hacer nada. La mala noticia: es posible que algunos dispositivos más antiguos no realicen la transición sin problemas. Tu PC no dejará de funcionar de repente, pero con el tiempo podría perder importantes medidas de seguridad a nivel de arranque sin que te des cuenta.

Esto es lo que está pasando, por qué es importante y cómo comprobar que tu máquina cumple con el plazo.

¿Qué es el arranque seguro y qué es lo que caduca?

El arranque seguro (Secure Boot) es una función del firmware UEFI integrada en prácticamente todos los ordenadores vendidos desde aproximadamente 2012. Se ejecuta antes Windows comience a cargarse, y su función es verificar que el gestor de arranque y los primeros componentes del arranque hayan sido firmados por una entidad de confianza. Si algo que no figura en la lista de confianza intenta introducirse en la cadena de arranque —un bootkit, por ejemplo—, el arranque seguro impide que se ejecute.

Cómo funciona el arranque seguro

La parte relativa a la «parte de confianza» es la clave. La confianza se establece mediante certificados criptográficos integrados en el firmware de la placa base. Los certificados actuales se emitieron en 2011 y están a punto de caducar. Se trata de tres certificados concretos:

  • Microsoft Corporation KEK CA 2011: caduca el 24 de junio de 2026
  • Certificado de autoridad de Microsoft UEFI 2011: caduca el 27 de junio de 2026
  • Licencia de Windows de Microsoft Windows PCA 2011: caduca el 19 de octubre de 2026

Microsoft los está sustituyendo por un conjunto con fecha de 2023, que incluye Windows CA 2023 y Microsoft Corporation KEK 2K CA 2023. Según explicaron los ingenieros de Microsoft durante una sesión de preguntas y respuestas celebrada en marzo de 2026, los nuevos certificados son válidos hasta 2038, y se prevé una transición independiente a la criptografía poscuántica para el año 2030 aproximadamente, de cara al hardware futuro.

«¿Dejará de funcionar mi ordenador?»

No. Esto es lo más importante que hay que entender, porque los rumores han tenido más peso que los hechos.

Si llega la fecha límite y tu ordenador sigue utilizando los certificados de 2011, Windows arrancando, Windows seguirá funcionando y tu ordenador seguirá funcionando con normalidad.

Lo que cambia es que, según las propias palabras de Microsoft, el dispositivo «ya no podrá recibir nuevas medidas de seguridad» para el proceso de arranque inicial, incluidas las actualizaciones del Administrador Windows , las bases de datos de arranque seguro, las listas de revocación y las medidas de mitigación para las vulnerabilidades a nivel de arranque recién descubiertas.

En pocas palabras: con el tiempo, cada vez es más difícil proteger tu ordenador. Está protegido contra las amenazas de arranque conocidas hoy en día, pero no necesariamente contra las que se descubrirán el mes que viene o el año que viene.

Eso supone un problema porque los bootkits operan por debajo de Windows del software antivirus. Se ejecutan antes que cualquier otra cosa y pueden desactivar las herramientas de seguridad que normalmente los detectarían.

El problema de BlackLotus

Si quieres un ejemplo concreto de por qué es importante la seguridad en la fase de arranque, fíjate en BlackLotus.

BlackLotus es un kit de arranque UEFI que apareció en foros de hackers en 2022 y cuya presencia en el mundo real fue confirmada por los investigadores a principios de 2023. Aprovechaba la vulnerabilidad CVE-2022-21894, conocida como «Baton Drop», para eludir el arranque seguro (Secure Boot) en Windows con todas las actualizaciones instaladas. Una vez instalado, podía desactivar BitLocker, la Integridad del Código Protegido por Hipervisor (HVCI) y Microsoft Defender antes de que Windows se cargara Windows .

Microsoft ha solucionado la vulnerabilidad subyacente enCVE-2023-24932, pero corregir de forma segura los gestores de arranque vulnerables es complicado. Si se revoca el acceso a los componentes de arranque equivocados, los sistemas pueden quedar inoperativos, por lo que Microsoft ha ido implementando medidas de protección de forma gradual a lo largo de varios años.

La renovación de los certificados de 2026 es un evento previsto dentro del ciclo de vida (los certificados de 2011 iban a caducar de todos modos), pero también permite reforzar aún más el arranque seguro, una medida que Microsoft ha estado aplicando en respuesta a la vulnerabilidad de los gestores de arranque y a ataques como el de BlackLotus.

Una vez implementados los nuevos anclajes de confianza, Microsoft podrá seguir implementando componentes de arranque más recientes firmados en 2023 y revocar de forma segura aquellos que sean vulnerables a medida que surjan nuevas amenazas. Los dispositivos que no realicen la transición podrían acabar sin disponer de esas protecciones futuras.

Cómo funciona la implementación

Microsoft está llevando a cabo una implementación por fases diseñada para evitar fallos en los sistemas.

Una Windows programada Windows se ejecuta aproximadamente cada 12 horas y aplica la actualización por etapas:

  1. Añade la nuevaCAWindows 2023a la base de datos de firmas del firmware.
  2. Si el antiguo certificado de terceros de 2011 sigue estando presente, añada junto a él el certificadoMicrosoft UEFI CA 2023y elcertificado Microsoft Option ROM UEFI CA 2023.
  3. Añade la nueva claveKEK 2K CA 2023 de Microsoft Corporation.
  4. Actualiza el gestor Windows con uno firmado con el nuevo certificado. Este paso se pospone hasta el próximo reinicio automático.

Según las directrices de Microsoft para profesionales de TI, se estima que el proceso completo tarda unas 48 horas y requiere uno o varios reinicios. Cada paso debe completarse con éxito antes de que se ejecute el siguiente, por lo que un dispositivo puede quedarse a medio proceso durante un tiempo si, por ejemplo, está a la espera de una actualización de firmware o de un reinicio programado.

Para la mayoría de los usuarios particulares, esto ocurre de forma silenciosa en segundo plano a través de las actualizaciones acumulativas habituales.

A partir de la Windows de abril de 2026, la aplicación Windows incluye información actualizada sobre el estado del arranque seguro en la sección «Seguridad del dispositivo», que muestra si los nuevos certificados se han aplicado correctamente.

Configuración de arranque seguro

¿Qué podría salir mal?

La mayoría de los sistemas realizarán la transición sin problemas, pero hay algunos puntos conflictivos conocidos:

  • Ordenadores antiguos con firmware obsoleto.Algunas versiones antiguas de firmware UEFI no son compatibles con los nuevos certificados. Es posible que estos sistemas requieran una actualización de la BIOS o del firmware por parte del fabricante para que la transición se pueda completar.
  • Ordenadores que eludieron los requisitos Windows .Si se desactivó el arranque seguro para instalar Windows mediante soluciones alternativas no oficiales, los nuevos certificados no se pueden aplicar correctamente.
  • Sistemas con BIOS heredada / CSM.Los dispositivos que funcionan con BIOS heredada (o UEFI con el Módulo de compatibilidad activado) no utilizan el arranque seguro en absoluto, por lo que quedan totalmente fuera del alcance de esta actualización.
  • Firmware personalizado y configuraciones poco habituales.Algunas configuraciones de firmware personalizadas o poco habituales pueden activar una solicitud de recuperación de BitLocker tras el cambio de las variables de arranque seguro. Microsoft ha tenido cuidado de señalar que BitLocker en sínose desactiva, pero los usuarios deben tener a mano sus claves de recuperación por si acaso.

Según Windows , durante las pruebas se detectaron fallos en la actualización en miles de ordenadores con firmware obsoleto. Las propias recomendaciones de Microsoft advierten, en términos más generales, de que las limitaciones del firmware, la plataforma y los fabricantes de equipos originales pueden impedir la actualización. En muchos casos, Windows señalará los sistemas afectados con avisos de estado en amarillo o rojo.

Qué deben hacer los usuarios particulares

Para la mayoría de la gente, el consejo es muy sencillo:

  • Mantén Windows actualizado.Microsoft está incorporando los nuevos certificados a través de Windows habituales Windows , y la mayoría de los usuarios particulares no tendrán que hacer nada más que instalar las actualizaciones mensuales.
  • Comprueba el estado de Secure Boot (el texto, no solo el color).AbreWindows >«Seguridad del dispositivo» >«Secure Boot». Si aparece una insignia verde con el texto«Secure Boot está activado, lo que impide que se cargue software malicioso al iniciar el dispositivo»,todo está en orden. Microsoft advierte de que una simple marca de verificación verde no confirma que se hayan aplicado los nuevos certificados.
  • Si tu dispositivo es antiguo, comprueba si hay alguna actualización de BIOS o firmware disponible por parte del fabricante.Algunos sistemas la necesitan para que la actualización de Secure Boot se complete correctamente. Esto es especialmente importante en el caso de los ordenadores fabricados antes de 2024.
  • No desactives el arranque seguro para «arreglar» algo.Desactivar el arranque seguro es precisamente lo que no hay que hacer: elimina por completo la protección en lugar de actualizarla. Algunos sistemas antitrampas de videojuegos y aplicaciones antiguas piden a los usuarios que lo hagan.
  • No te asustes por la nueva carpeta SecureBoot. La actualización acumulativa Windows de mayo de 2026 (KB5089549) crea una carpeta en C:\Windows\SecureBoot que contiene ejemplos de scripts de PowerShell destinados a administradores de TI. No se trata de malware, es algo previsto y no es necesario eliminarlo.
  • Utiliza una protección antimalware actualizada y en tiempo real capaz de detectar amenazas a nivel del sistema operativo, incluso si alguna de ellas logra burlar el arranque seguro.

Lo que deben hacer los equipos de TI

Si gestionas una flota, Microsoft ha publicadouna guía muy completay el proceso es más complejo. En resumen:

  • Haz un inventario de tus dispositivos ahora mismo. Recopila el fabricante, el modelo, la versión del BIOS y la fecha, el producto de la placa base y el estado de Secure Boot en todo el parque informático. Microsoft ofrece un script de ejemplo de PowerShell en aka.ms/GetSecureBoot que muestra las claves de registro y los ID de evento pertinentes.
  • Presta atención a los ID de evento 1801 y 1808.El ID de evento 1808 confirma que los nuevos certificados están instalados. El ID de evento 1801 indica que el dispositivo no ha completado la actualización.
  • Realice pruebas antes de la implementación general.Microsoft recomienda realizar pruebas en al menos cuatro dispositivos por cada combinación única de fabricante, modelo y firmware. Es posible que algunos sistemas necesiten una actualización de firmware del fabricante antes de poder aceptar los nuevos certificados.
  • Elige un método de implementación por dispositivo.Utiliza claves del Registro, directivas de grupo, herramientas de línea de comandos de WinCS o scripts de Intune/ConfigMgr, pero no mezcles métodos en el mismo equipo.
  • Presta atención a la creación de imágenes PXE y a Hyper-V. Es posible que los servidores PXE de SCCM/MECM necesiten una nueva firma boot.wim, y es posible que sea necesario actualizar los hosts Hyper-V antes de crear nuevas máquinas virtuales con el KEK 2023 en la plantilla de firmware.
  • Identifique los dispositivos que no se pueden actualizar.Es posible que el hardware antiguo que no cuente con soporte de firmware del fabricante original deba sustituirse antes de la fecha límite o aceptarse formalmente como excepción, siempre que se apliquen controles compensatorios. Estos dispositivos seguirán funcionando, pero es posible que no dispongan de futuras protecciones a nivel de arranque.

En resumen

Este es uno de esos eventos de seguridad que no provocará ningún incidente grave el 24 de junio de 2026. Ese día no se producirá ningún fallo visible.

El riesgo radica en lo que ocurra en los meses y años posteriores. Los dispositivos que no logren realizar la transición a la nueva cadena de confianza podrían quedarse poco a poco desfasados en cuanto a las futuras protecciones a nivel de arranque, a medida que Microsoft siga respondiendo a amenazas como BlackLotus y otros bootkits.

Para la mayoría de los usuarios particulares, Windows se encargará de la transición automáticamente. Lo más importante es mantener el sistema actualizado y comprobar el estado de Secure Boot antes de que se cumplan los plazos.

Si tu equipo es antiguo, ahora es un buen momento para comprobar si el fabricante sigue ofreciendo actualizaciones de firmware y si tu PC está preparada para la próxima década de protecciones de arranque seguro.

Premio «Elección del equipo editorial» de CNET 2026

«Una de las mejores suites de ciberseguridad del mundo». 

Según CNET.Lee su reseña

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Filtraciones de datos
una mujer y un crucero

Carnival confirma una filtración de datos que afecta a casi 6 millones de personas

Mayo 28, 2026

El gigante de los cruceros Carnival ha sufrido otra filtración de datos: el grupo ShinyHunters afirma haber robado datos personales que afectan a casi 6 millones de personas.

AI
Información sobre amenazas: amenazas ocultas

Una página web falsa para descargar ChatGPT infecta con malware Mac Windows Mac

Mayo 28, 2026

¿Estás buscando ChatGPT? Esta página de descargas falsa distribuye malware tanto a Mac Windows Mac , utilizando cargas maliciosas distintas adaptadas a cada plataforma.

Noticias
phishing a gran escala

El kit de phishing Kali365 elude la autenticación de dos factores y roba credenciales de Microsoft

Mayo 27, 2026

El FBI ha advertido de que los atacantes están utilizando un nuevo kit de phishing para obtener acceso prolongado a cuentas de Microsoft Outlook, Teams y OneDrive.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas