Cuando hablamos de actualizaciones de seguridad, normalmente pensamos en parches de Windows, nuevas versiones del kernel Linux, correcciones para el navegador o actualizaciones del antivirus. Sin embargo, hay otra parte mucho menos visible del ordenador que también necesita mantenerse al día: el arranque seguro del sistema. Y aquí es donde entra Secure Boot.
Esta función, habitual en los ordenadores modernos con firmware UEFI, se encarga de comprobar que los componentes que se cargan antes del sistema operativo sean legítimos y estén firmados. Dicho de forma sencilla: ayuda a evitar que cierto tipo de malware especialmente peligroso se cuele en el PC antes incluso de que Windows, Linux o nuestras herramientas de seguridad hayan empezado a funcionar.
Secure Boot lleva años funcionando en segundo plano sin que la mayoría de los usuarios tenga que preocuparse demasiado por él. Sin embargo, si tienes un ordenador ya con unos cuantos años a sus espaldas, este es uno de esos cambios que no deberías dejar pasar. Los certificados antiguos de Secure Boot, emitidos en 2011, empiezan a caducar en junio de 2026, y tanto usuarios de Windows como de Linux deberían asegurarse de que sus equipos reciben los nuevos certificados de 2023.
Secure Boot tiene una fecha clave: junio de 2026
El problema no está en Secure Boot como tecnología, sino en las claves criptográficas que se utilizan para verificar lo que puede cargarse durante el arranque. Como ocurre con todos los certificados, estas claves no son eternas, sino que tienen un ciclo de vida y, después de muchos años en uso, toca reemplazarlas por otras más recientes.
Microsoft lleva tiempo preparando esta transición con nuevos certificados de 2023. En los equipos Windows compatibles, el cambio se está distribuyendo de forma progresiva mediante Windows Update, por lo que en muchos casos no tendremos que hacer nada especial más allá de mantener el sistema actualizado y reiniciar cuando el propio Windows lo pida. Aun así, no conviene pasar por alto el aviso.
La fecha de fin de validez de las claves marca el inicio de la caducidad de algunos de estos certificados antiguos, y los equipos que no reciban la actualización podrían quedar en una situación de seguridad degradada. Esto no significa que el ordenador vaya a apagarse, bloquearse o dejar de arrancar automáticamente el mismo día. La situación es más sutil, pero también importante: el PC podrá seguir funcionando, pero con el tiempo podría dejar de recibir determinadas protecciones relacionadas con el proceso de arranque.
Qué puede pasar si no actualizamos los certificados
El lado bueno de este problema es que no estamos ante un corte inmediato: si un equipo sigue usando los certificados antiguos, no debería dejar de arrancar de golpe, sino que podremos seguir utilizando Windows o Linux con normalidad durante un tiempo. El problema viene después: un ordenador que no haya recibido los nuevos certificados puede tener más complicado recibir futuras actualizaciones de seguridad que protejan el arranque del sistema. Y eso es especialmente grave porque hablamos de una fase muy temprana del encendido del PC, justo antes de que entren en juego el sistema operativo, el antivirus o las defensas habituales.
También pueden aparecer problemas de compatibilidad a medio y largo plazo. Algunos sistemas operativos nuevos, firmwares, controladores, componentes de hardware o aplicaciones que dependan de Secure Boot podrían necesitar los certificados actualizados para funcionar correctamente. Por tanto, el mensaje no es «corre o tu PC dejará de funcionar», sino algo bastante más razonable: si usamos Windows o Linux en un equipo con Secure Boot activado, deberíamos comprobar que el sistema está al día.
Cómo comprobarlo en Windows
Si somos usuarios de Windows, Microsoft ahora nos muestra información más clara dentro de la app Seguridad del sistema operativo. Para verla, simplemente tenemos que ir al apartado de «Seguridad de Windows > Seguridad del dispositivo > Arranque seguro«.
Ahí deberíamos ver el estado de Secure Boot y, en los equipos donde ya esté disponible esta información, también el estado de actualización de los certificados. Microsoft muestra aquí distintos avisos para diferenciar entre equipos correctamente actualizados, equipos pendientes de actualización y casos en los que pueda ser necesario llevar a cabo alguna acción adicional.
Si el sistema indica que Secure Boot está activado y que todos los certificados necesarios se han aplicado, no tenemos que hacer nada más. Por otro lado, si aparece una advertencia amarilla, lo normal es que Windows recomiende mantener el equipo actualizado o que exista alguna limitación de hardware o firmware. Y si aparece un aviso rojo, entonces sí conviene prestarle atención cuanto antes, porque podría indicar que el equipo no puede recibir una actualización de seguridad relacionada con el arranque en su configuración actual.
