MundoTechie
Windows

Windows 11 ya avisa si tu PC tiene pendiente una actualización clave de Arranque seguro

Marta Solana ·
Windows 11 ya avisa si tu PC tiene pendiente una actualización clave de Arranque seguro
Microsoft Support

Si has abierto Seguridad de Windows en los últimos meses y te ha llamado la atención un aviso amarillo o rojo junto a la sección de Arranque seguro (Secure Boot), no es un error aleatorio. Microsoft está advirtiendo a millones de usuarios sobre algo que afecta a la forma en que tu PC arranca cada vez que lo enciendes: los certificados de seguridad de Arranque seguro emitidos en 2011 empiezan a caducar en junio de 2026.

La buena noticia es que, en la mayoría de los casos, ya no tienes que hacer nada. Microsoft está gestionando la actualización automáticamente. Pero si tu dispositivo es más antiguo o tiene el firmware desactualizado, conviene que sepas qué está pasando y cómo comprobarlo.

Qué certificados están caducando y por qué importa

Cuando introdujeron el Arranque seguro con Windows 8, Microsoft incluyó un conjunto de certificados digitales en el firmware de todos los equipos compatibles. Estos certificados permiten que el firmware verifique que solo se ejecuta software de confianza durante la secuencia de arranque, bloqueando amenazas como los bootkits que intentan instalarse antes de que cargue el sistema operativo.

Esos certificados originales llevan desde 2011 y Microsoft lo sabía: tienen fecha de caducidad. Y esa fecha ya está aquí. Varios de ellos caducan entre el 24 de junio y el 27 de junio de 2026, y otro —el Microsoft Windows Production PCA 2011— lo hace el 19 de octubre de 2026.

Los certificados que caducan son:

  • Microsoft Corporation KEK CA 2011 — caduca el 24 de junio de 2026.
  • Microsoft UEFI CA 2011 — caduca el 27 de junio de 2026.
  • Microsoft UEFI CA 2011 (Option ROM) — también caduca el 27 de junio de 2026.
  • Microsoft Windows Production PCA 2011 — caduca el 19 de octubre de 2026.

Para cada uno de ellos, Microsoft ya ha emitido una versión de 2023 que los sustituye. La KEK 2011 pasa a ser la Microsoft Corporation KEK 2K CA 2023, el UEFI CA 2011 pasa al Microsoft UEFI CA 2023, y así sucesivamente.

Qué pasa si tu PC no se actualiza

Aquí es donde la cosa se matiza. Microsoft es claro al respecto: si tu equipo no recibe la actualización de certificados, es muy probable que siga arrancando y recibiendo actualizaciones estándar de Windows durante un tiempo. No se va a convertir en un ladrillo de la noche a la mañana.

Pero hay un pero importante. Sin los certificados actualizados, el Arranque seguro ya no podrá validar ni proteger futuras actualizaciones de los componentes de arranque temprano del sistema. Eso incluye el gestor de arranque de Windows, las bases de datos de certificados y las listas de revocación. Con el tiempo, tu equipo quedaría menos protegido frente a amenazas que ataquen la fase de arranque.

En escenarios de mayor riesgo —sobre todo con firmware desactualizado o cuando las actualizaciones no se aplican correctamente— Microsoft ha identificado problemas más graves:

  • Errores de validación del Arranque seguro.
  • Avisos de recuperación de BitLocker, incluso en bucles repetidos.
  • Bloqueos durante el arranque o equipos que simplemente no arrancan.

Estos escenarios no son los más comunes, pero son lo suficientemente serios como para que Microsoft lo comunique con claridad.

Cómo comprobar el estado en tu Windows 11

Desde abril de 2026, la aplicación Seguridad de Windows muestra información detallada sobre el estado de los certificados de Arranque seguro. Para verlo, sigue estos pasos:

  1. Abre Seguridad de Windows (puedes buscarlo en el menú Inicio).
  2. Vete a Seguridad del dispositivo.
  3. Haz clic en Detalles de seguridad del dispositivo.
  4. Busca la sección Arranque seguro.

Allí verás un distintivo con un color que indica tu situación:

Distintivo verde. Tu dispositivo ha recibido todas las actualizaciones de certificados necesarias y el gestor de arranque actualizado está instalado. Microsoft indica textualmente que «el Arranque seguro está activado y se han aplicado todas las actualizaciones de certificados requeridas. No se necesitan más cambios». No tienes que hacer nada.

Distintivo amarillo. Tu dispositivo sigue usando un certificado antiguo. La actualización debería aplicarse automáticamente por Windows Update, pero algo lo está impidiendo. Puede ser una limitación de hardware o firmware. En este caso, Microsoft recomienda asegurarte de que tienes las últimas actualizaciones instaladas y reiniciar si se te pide. Si el problema persiste, contacta con el fabricante de tu equipo.

Distintivo rojo. Hay una vulnerabilidad de seguridad en el proceso de arranque que no puede aplicarse a tu configuración actual. Esto aparece cuando se descubre una vulnerabilidad que afecta al arranque y tu dispositivo no ha recibido los certificados actualizados. Microsoft te dirige a su página de ayuda (aka.ms/getsecureboot) para que revises los pasos siguientes.

Un detalle importante que Microsoft destaca: una marca de verificación verde por sí sola no garantiza que los certificados estén actualizados. Debes leer también el texto que acompaña al distintivo y confirmar que dice que se han aplicado todas las actualizaciones requeridas.

Qué hacer si ves un aviso

Para la gran mayoría de usuarios domésticos con Windows 11 actualizado, la respuesta es sencilla: asegúrate de que Windows Update está al día y reinicia tu equipo. Microsoft está entregando las actualizaciones de certificados automáticamente a través de Windows Update en la mayoría de los dispositivos de consumo.

Si tienes un dispositivo más antiguo o un equipo empresarial gestionado por TI, es posible que necesites una actualización de firmware del fabricante. En ese caso, lo recomendable es:

  • Visitar la web de soporte del fabricante de tu equipo (Lenovo, HP, Dell, ASUS, etc.).
  • Buscar actualizaciones de BIOS o firmware para tu modelo concreto.
  • Aplicarlas antes de intentar la actualización de certificados.

Microsoft recomienda, especialmente en entornos empresariales, hacer una prueba piloto con un grupo representativo de dispositivos antes de desplegar la actualización a todos los equipos, para verificar que no aparecen problemas de arranque ni bucles de recuperación de BitLocker.

Un recordatorio que conviene tomar con calma

La caducidad de estos certificados no es una emergencia inmediata, pero tampoco es algo que puedas ignorar indefinidamente. El plazo empieza a contar desde junio de 2026, y Microsoft ha sido transparente tanto sobre los riesgos como sobre las soluciones.

Si tu PC tiene el distintivo verde en Seguridad de Windows, puedes estar tranquilo. Si ves un amarillo o un rojo, no entres en pánico, pero sí toma cartas en el asunto: actualiza Windows, revisa las actualizaciones de firmware y, si es necesario, contacta con el fabricante. La mayoría de los problemas se resuelven con una actualización de Windows Update y un reinicio.

Para más información oficial, puedes consultar la documentación de Microsoft Learn y la página de soporte sobre la caducidad de certificados.

Fuentes

Microsoft Learn·Microsoft Support·Microsoft Support
Marta Solana
Marta Solana

Autor