Portada »
🕒 Lectura estimada: 7 min
Los certificados de Secure Boot emitidos en 2011 empiezan a vencer desde junio de 2026. Windows y Linux deben actualizarse para mantener la seguridad del arranque.
Millones de computadores con Windows y Linux están entrando en una etapa delicada de seguridad.
No se trata de un virus nuevo, una app falsa o una filtración masiva de datos. El problema está en algo mucho más silencioso: los certificados de Secure Boot, una pieza clave que ayuda a verificar que el sistema arranque con software confiable.
Los certificados originales de Microsoft, emitidos en 2011, empiezan a expirar desde junio de 2026. Y aunque para la mayoría de usuarios el cambio debería llegar mediante actualizaciones automáticas, algunos equipos antiguos, sistemas sin soporte o instalaciones mal configuradas podrían quedar en una situación complicada.
En palabras simples: tu PC puede seguir prendiendo, pero su base de seguridad podría quedar vieja.
Secure Boot, o arranque seguro, es una función de seguridad integrada en equipos modernos con firmware UEFI.
Su trabajo es revisar que el software que se carga al encender el computador sea confiable. Eso incluye partes del sistema operativo, gestores de arranque y componentes críticos que se ejecutan antes de que Windows o Linux terminen de iniciar.
La idea es evitar que malware avanzado se esconda en el arranque del sistema.
Ese tipo de amenaza es especialmente peligrosa porque puede activarse antes que el antivirus y antes de que el usuario vea el escritorio. Por eso Secure Boot funciona como una primera barrera de confianza.
No es una protección perfecta, pero sí una capa importante.
Los certificados que preocupan son los usados por Secure Boot desde 2011.
Microsoft explica que esos certificados empiezan a expirar en junio de 2026 y que por eso está desplegando nuevos certificados emitidos en 2023. La actualización busca mantener la protección frente a amenazas que intentan atacar el proceso de arranque.
Entre los certificados afectados están componentes de la cadena de confianza usada por Windows y por muchos sistemas Linux que dependen de firmas compatibles con Microsoft para arrancar con Secure Boot activado.
Esto no significa que todos los computadores se van a apagar de golpe.
Pero sí significa que los equipos sin actualización podrían quedar en un estado de seguridad degradado o tener problemas para aceptar componentes nuevos firmados después del vencimiento.
Para usuarios de Windows compatibles, Microsoft está distribuyendo la renovación mediante actualizaciones del sistema.
Desde las actualizaciones de 2026, Windows Security también puede mostrar información sobre el estado de los certificados de Secure Boot en la sección de seguridad del dispositivo.
La recomendación básica es clara: mantener Windows actualizado.
En equipos modernos, especialmente los vendidos desde 2024, muchos certificados nuevos ya deberían estar presentes. En otros casos, Windows Update debería encargarse del proceso.
El problema aparece con computadores más viejos, instalaciones modificadas o equipos donde Secure Boot fue desactivado para instalar Windows 11 de forma no oficial.
Ahí la actualización puede no aplicarse correctamente.
Aunque el titular suele mencionar Windows, Linux también puede verse afectado.
Muchas distribuciones usan un componente llamado shim, que permite arrancar Linux en sistemas con Secure Boot activado. Ese componente también depende de la cadena de confianza vinculada a certificados de Microsoft.
Red Hat explicó que los sistemas con el certificado Microsoft UEFI CA 2011 ya inscrito deberían seguir arrancando después del 27 de junio de 2026. El vencimiento afecta principalmente la capacidad de firmar nuevos binarios, no el arranque de los binarios existentes.
Aun así, distribuciones como Red Hat ya publicaron nuevas versiones de shim para sus versiones soportadas.
Para el usuario común de Linux, la recomendación es sencilla: mantener la distribución actualizada y revisar las notas del fabricante o de la distro si usa Secure Boot.
El mayor riesgo no está en computadores modernos bien actualizados.
Está en equipos antiguos, firmwares UEFI sin mantenimiento, sistemas operativos sin soporte, Windows 10 sin actualizaciones extendidas o instalaciones donde se hicieron trucos para saltarse requisitos de Windows 11.
En esos casos, el computador puede no recibir los nuevos certificados o necesitar una actualización de BIOS/UEFI del fabricante.
Y aquí viene el detalle incómodo: algunos fabricantes simplemente no actualizarán modelos viejos.
Eso no quiere decir que el equipo deje de servir al día siguiente. Pero sí puede quedar más expuesto frente a amenazas futuras o tener problemas de compatibilidad con nuevos componentes de arranque.
Aveces el computador no se vuelve obsoleto porque sea lento, sino porque su cadena de confianza deja de estar al día.
Microsoft habla de un posible estado de seguridad degradado.
Eso significa que el equipo puede seguir funcionando, pero con una protección más débil frente a amenazas que atacan el arranque del sistema. También puede haber limitaciones para instalar futuras actualizaciones relacionadas con Secure Boot o para confiar en software firmado con certificados nuevos.
En Linux, el escenario puede depender mucho de la distribución, el gestor de arranque y la configuración del firmware.
En algunos casos, el sistema seguirá arrancando sin cambios inmediatos. En otros, podrían aparecer problemas si se actualizan componentes firmados y el firmware no reconoce la nueva cadena de confianza.
Por eso no conviene esperar al último momento.
En Windows, lo más importante es instalar las actualizaciones pendientes y revisar la sección de Seguridad de Windows.
La ruta general es ir a Seguridad de Windows, luego Seguridad del dispositivo y revisar el estado de arranque seguro. En versiones recientes, Microsoft está incorporando más información sobre los certificados de Secure Boot.
También puede ser necesario revisar si hay actualizaciones de BIOS o firmware en la página del fabricante del equipo.
En Linux, conviene mantener el sistema actualizado, revisar si Secure Boot está activo y consultar las notas de la distribución. Usuarios de Ubuntu, Fedora, Debian, Red Hat, SUSE o similares deberían revisar actualizaciones relacionadas con shim, grub y firmware.
No hace falta entrar en pánico, pero sí conviene actuar con orden.
Mantén Windows o Linux actualizado, instala parches pendientes, revisa actualizaciones del fabricante y evita desactivar Secure Boot sin saber exactamente por qué lo haces.
Si tienes un equipo viejo, especialmente uno que no recibe soporte, vale la pena revisar si el fabricante publicó una actualización de BIOS/UEFI.
Y si instalaste Windows 11 saltándote requisitos oficiales, este es un buen momento para revisar tu configuración, porque Secure Boot puede no estar funcionando como debería.
Secure Boot no es una función visible para el usuario común.
No tiene una app llamativa, no muestra notificaciones todos los días y normalmente trabaja en silencio. Pero es una de esas capas de seguridad que solo recordamos cuando algo sale mal.
El vencimiento de certificados muestra que la seguridad digital también tiene fecha de caducidad.
No basta con que una tecnología haya funcionado durante 15 años. Los certificados, las firmas y las cadenas de confianza deben renovarse para seguir siendo útiles frente a amenazas nuevas.
La ciberseguridad no es solo instalar antivirus. También es mantener viva la base que permite confiar en el sistema desde el primer segundo de arranque.
El vencimiento de certificados de Secure Boot en 2026 no significa que millones de computadores vayan a fallar de inmediato.
Pero sí marca una fecha importante para Windows, Linux y la seguridad del arranque en PCs modernas.
Microsoft ya está desplegando nuevos certificados de 2023, y varias distribuciones Linux están actualizando sus componentes para mantener compatibilidad. La mayoría de usuarios solo tendrá que mantener su sistema al día.
El problema será para quienes usan equipos antiguos, sistemas sin soporte o instalaciones modificadas.
Así que la recomendación es simple: actualiza el sistema, revisa el firmware y no ignores Secure Boot.
Puede que nunca lo veas trabajando, pero cuando el computador arranca, es una de las primeras cosas que intenta protegerte.
james
Recibe noticias, análisis y contenido geek directo en tu bandeja.
Deja tu comentario