Secure Boot de Windows: certificados a punto de caducar, renueva ya

Mostrar resumen Ocultar resumen

Si usas Windows en un equipo moderno, puede que pronto te encuentres con un problema silencioso: los certificados que permiten que Secure Boot verifique el software se están acercando a su fecha de caducidad. Esto no es un fallo menor. Si no actúas, podrías ver fallos al arrancar, controladores rechazados o funciones de seguridad limitadas. Aquí te explico cómo comprobarlo y qué hacer paso a paso.

Por qué la caducidad de los certificados afecta al arranque seguro

Secure Boot impide que software no autorizado se ejecute durante el arranque. Para ello usa varias bases de datos de firmas dentro del firmware UEFI. Cuando un certificado expira, las firmas que dependen de él pueden dejar de ser válidas.

  • PK: clave principal del fabricante o del propietario del equipo.
  • KEK: claves de intercambio para actualizar las bases.
  • db: lista de firmas permitidas.
  • dbx: lista de firmas revocadas.

Si las entradas en estas bases no se actualizan, el firmware puede bloquear controladores o cargadores firmados con certificados caducados. Eso causa pantallas negras, reinicios o mensajes de error al inicio.

Cómo verificar si tu equipo está en riesgo

No necesitas herramientas complejas para comprobar el estado.

  • Abre «Información del sistema» (msinfo32) y busca «Estado de arranque seguro».
  • En PowerShell ejecuta Confirm-SecureBootUEFI para comprobar si Secure Boot está activo.
  • Revisa Windows Update y las notificaciones del fabricante del equipo.
  • Si tu equipo no arranca, busca códigos de error en el menú de recuperación o en el Visor de eventos.

Medidas inmediatas que debes tomar hoy

Actúa cuanto antes. Estas son soluciones prácticas y ordenadas por prioridad.

  1. Instala todas las actualizaciones de Windows. Microsoft publica parches y nuevas firmas por Windows Update.
  2. Actualiza el firmware/BIOS desde el fabricante. Las actualizaciones UEFI suelen incluir bases de firmas renovadas.
  3. Renueva controladores críticos. Descarga versiones firmadas oficialmente desde el sitio del fabricante o Microsoft Update Catalog.
  4. Si no puedes actualizar, desactiva temporalmente Secure Boot en la UEFI solo para arrancar y aplicar actualizaciones. No lo dejes desactivado.
  5. Genera un punto de restauración o una imagen del sistema antes de tocar el arranque.

Pasos para cuando Windows no arranca por problemas de firmas

Si tu PC falla al arrancar tras la caducidad de certificados, sigue estos pasos.

  • Entra en las opciones de recuperación de Windows. Prueba “Restaurar sistema” o “Reparación de inicio”.
  • Si persiste, arranca desde un medio USB de recuperación y restaura una imagen o reinstala el sistema.
  • Como medida temporal, desactiva Secure Boot en UEFI para permitir el arranque. Luego actualiza firmware y controladores y vuelve a activar Secure Boot.
  • Si el problema proviene de un driver concreto, arranca en modo seguro y desinstala ese controlador.

Recomendaciones para administradores y entornos empresariales

En empresas, la gestión centralizada reduce riesgos. Planifica y automatiza las actualizaciones.

  • Incluye actualizaciones de UEFI y firmas en tus imágenes de referencia.
  • Distribuye controladores firmados mediante WSUS o tu MDM.
  • Prueba los cambios en un entorno controlado antes de desplegar masivamente.
  • Documenta un plan de recuperación para dispositivos que no puedan actualizarse por razones de compatibilidad.

Compatibilidad con Linux y sistemas dual-boot

Linux usa shim y MOK para convivir con Secure Boot. Si un certificado caduca, es posible que módulos o kernels no arranquen.

  • Actualiza el paquete shim y enrolla nuevas claves MOK si es necesario.
  • Consulta la documentación de tu distro para procesos de firma y enrolamiento.
  • Como precaución, mantén una entrada de recuperación que permita arrancar sin Secure Boot temporalmente.

Consejos prácticos y precauciones

  • Haz copias de seguridad antes de tocar UEFI.
  • No descargues firmwares desde sitios no oficiales.
  • Si el equipo es crítico, coordina las actualizaciones fuera de horario laboral.
  • Si dudas, contacta al soporte del fabricante antes de desactivar Secure Boot.

Cómo mantenerte informado y evitar sorpresas

La prevención es clave. Mantén estos hábitos para no llevarte un susto más adelante.

  • Activa actualizaciones automáticas de Windows y firmware cuando sea posible.
  • Sigue las recomendaciones y boletines del fabricante de tu placa base o PC.
  • Revisa periódicamente el estado de arranque seguro en msinfo32 o con PowerShell.
  • Documenta versiones de firmware y controladores en tu inventario de TI.

Da tu opinión

Sé el primero en valorar esta entrada
o deja una reseña detallada



Microsoft Insider es un medio independiente. Apóyanos añadiéndonos a tus favoritos de Google News:

Publicar un comentario

Publicar un comentario