El reloj de Secure Boot en Windows: qué revela el cambio de certificados sobre la verdadera vida útil de tu PC

10 de febrero de 2026
5 min de lectura
Pantalla de configuración UEFI de un PC con la opción Secure Boot resaltada

Titular e introducción

En junio, millones de PCs con Windows cruzarán silenciosamente una línea que casi nadie ve: los certificados originales de Secure Boot, en vigor desde la época de Windows 8, empiezan a caducar. Si todo sale bien, no pasará nada visible. Si no, aparecerán errores extraños al instalar nuevas versiones de Windows o incluso al arrancar sistemas operativos modernos. En este artículo no vamos a repetir las instrucciones de Microsoft, sino a analizar lo que el cambio significa realmente: quién gana, quién se queda atrás y qué dice esto sobre la relación entre seguridad, obsolescencia y regulación, tanto en Europa como en América Latina.

La noticia en resumen

Según informa Ars Technica, Microsoft ha advertido de que los certificados de Secure Boot utilizados desde 2011 para verificar el cargador de arranque en PCs UEFI empiezan a expirar en junio de 2026, con más fechas en octubre del mismo año.

Secure Boot se introdujo con Windows 8 y se volvió requisito formal a partir de Windows 11 en 2021. Durante todo este tiempo se ha apoyado en la misma autoridad certificadora, que ahora se sustituye por nuevos certificados emitidos en 2023.

Microsoft está distribuyendo estos certificados principalmente a través de Windows Update, escribiéndolos en la NVRAM del firmware UEFI. Muchos equipos ya los tienen instalados sin que el usuario haya hecho nada; los modelos más recientes suelen incluirlos directamente en la BIOS/UEFI de fábrica.

Si un PC no recibe la actualización, podrá seguir arrancando su sistema actual, pero se quedará sin futuras mitigaciones de seguridad a nivel de arranque y, con el tiempo, podría ser incapaz de iniciar versiones nuevas de Windows u otros sistemas que confíen únicamente en los certificados de 2023.

Por qué importa

No estamos ante otro parche rutinario, sino ante un relevo generacional en la base criptográfica que sostiene el arranque del PC.

Las consecuencias se notarán en varios frentes:

  1. Techo de seguridad: Un equipo anclado a los certificados de 2011 no podrá aplicar, a medio plazo, contramedidas frente a nuevas vulnerabilidades de firmware, bootloaders o módulos de arranque. Justo cuando el malware dirigido al UEFI deja de ser teoría y pasa a producción.
  2. Fricción con futuros sistemas operativos: Puede que hoy todo funcione, pero a medida que futuras versiones de Windows y distribuciones Linux abandonen compatibilidad con la cadena antigua, esos equipos empezarán a fallar al arrancar instaladores, medios de recuperación o kernels recientes.
  3. Coste operativo: Para una pyme, un gobierno local o una universidad, esto implica inventariar máquinas, revisar políticas de actualización y gestionar excepciones, especialmente en laboratorios, industria o contextos donde los PCs rara vez se conectan a Internet.

¿Quién sale ganando? En términos de seguridad, casi todos: Microsoft refuerza la base del ecosistema, los OEM cierran una puerta a rootkits persistentes y los usuarios obtienen más protección contra ataques de bajo nivel.

Pero también hay perdedores clarísimos:

  • Usuarios con hardware viejo pero perfectamente funcional, cuyo fabricante ya no ofrece nuevas BIOS.
  • Organizaciones con cultura de parcheo débil o con equipos desconectados, que se quedarán atrapados en una zona gris: demasiado inseguros para seguir en producción, demasiado caros para sustituirlos de golpe.

En el fondo, este cambio obliga a responder una pregunta incómoda: ¿cuántos años puede vivir un PC sin quedar fuera de la primera división de seguridad? La rotación de certificados marca una frontera invisible entre la generación Windows 8/10 y la era posterior a Windows 11.

El panorama más amplio

La industria ya se ha enfrentado a rotaciones similares, pero en capas más altas. Cuando caducaron certificados raíz de TLS –como en el famoso cambio de cadena de Let’s Encrypt en 2021– vimos móviles Android antiguos, smart TVs y dispositivos embebidos que dejaron de conectarse a ciertos servicios sin explicación aparente. El patrón es el mismo: dispositivos longevos apoyados en anclas criptográficas con fecha de caducidad.

Ahora ese problema baja al firmware.

Microsoft lleva una década estrechando el control sobre el arranque: introdujo Secure Boot con Windows 8, lo reforzó en Windows 10 y exigió Secure Boot y TPM 2.0 para instalar Windows 11. Paralelamente han aparecido los llamados PCs “Secured‑core”, con firmware y hardware más alineados con Windows. El cambio de certificados encaja perfectamente en esta trayectoria.

En paralelo, los ataques cambian: UEFI rootkits, kits de explotación vendidos en foros y campañas avanzadas que se ocultan en el firmware ya han sido documentados. Desde ese ángulo, mantener en 2026 la misma autoridad de arranque que en 2011 es un lujo que ningún proveedor serio puede permitirse.

Sin embargo, el movimiento también reabre el debate de seguridad frente a control del ecosistema. Secure Boot siempre ha generado desconfianza en la comunidad Linux porque concentra mucho poder en manos de Microsoft y los fabricantes. Cada vez que se renuevan certificados sin pensar en escenarios de arranque dual, kernels firmados por terceros o sistemas alternativos, se corre el riesgo de encerrar aún más al usuario en un único proveedor.

La conclusión es clara: el PC clásico se parece cada vez más al smartphone, con un “ancla” criptográfica que decide qué se puede ejecutar y hasta cuándo tu hardware será considerado de primera clase.

El ángulo europeo y latinoamericano

En Europa este cambio llega en plena ola regulatoria: la Directiva NIS2 refuerza las obligaciones de seguridad para operadores esenciales y entidades públicas, y el futuro Reglamento de Ciberresiliencia (CRA) exigirá actualizaciones de seguridad durante varios años para productos conectados.

Desde esa óptica, la rotación de certificados es casi un caso de libro: si tu modelo de riesgo incluye ataques al firmware, debes ser capaz de renovar la raíz de confianza.

Pero la realidad del mercado hispanohablante introduce matices:

  • Ciclos de renovación largos: En administraciones públicas y pymes de España y América Latina no es raro usar PCs durante 7–10 años. Muchos equipos de gama media adquiridos en la era Windows 8/10 siguen en producción diaria.
  • Infraestructuras irregulares: En partes de Latinoamérica hay conexiones poco fiables, cortes de energía frecuentes y PCs que pasan meses sin conectarse a Internet. Son candidatos claros a quedarse sin los nuevos certificados.
  • Uso creciente de Linux: En universidades, gobiernos regionales y proyectos de soberanía digital, tanto en España como en varios países latinoamericanos, proliferan despliegues dual‑boot. Cualquier movimiento en Secure Boot puede romper configuraciones poco documentadas.

Para los reguladores europeos, Microsoft está haciendo lo correcto: reforzar la base de seguridad para alargar la vida útil segura de los dispositivos. Pero si el resultado es que miles de equipos todavía utilizables en escuelas rurales, ayuntamientos pequeños o microempresas dejan de poder actualizar a un Windows soportado, la discusión sobre obsolescencia programada y derecho a reparar se intensificará.

Mirando hacia adelante

Entre 2025 y 2026 viviremos una transición en dos velocidades.

En el lado “bueno”, quien tenga Windows 10/11 bien actualizado, Secure Boot activado y una conexión razonable probablemente no note nada. Las historias interesantes vendrán de los márgenes del ecosistema:

  • Flotas mal inventariadas, donde nadie sabe qué BIOS lleva cada equipo ni si el fabricante sigue publicando actualizaciones.
  • Equipos industriales, médicos o de laboratorio con validaciones estrictas, donde tocar el firmware es un tabú y cualquier cambio implica recertificación.
  • Ordenadores personales “trasteados”, en los que se desactivó Secure Boot para instalar mods, juegos antiguos o distribuciones Linux, y ahora su dueño descubre que lo necesita para el siguiente Windows.

¿Qué deberíamos hacer, como responsables de TI o usuarios avanzados?

  1. Inventariar ahora, no en 2027: saber qué PCs tienen Secure Boot activo, qué firmware ejecutan y si el proveedor promete soporte.
  2. Revisar políticas de actualización: en empresas y organismos públicos, verificar que WSUS, Intune u otras herramientas no estén bloqueando precisamente los parches que renuevan certificados.
  3. Segregar el riesgo: decidir qué hacer con los equipos que nunca podrán recibir las nuevas cadenas: aislarlos en redes separadas, relegarlos a tareas no críticas o planificar su sustitución.

El gran interrogante es cuantitativo: ¿serán un puñado de casos aislados o veremos un volumen significativo de PCs atrapados en una especie de “cul‑de‑sac de seguridad”, donde seguir funcionando implica aceptar riesgos inasumibles?

En resumen

La caducidad de los certificados de Secure Boot no va a tumbar Internet, pero sí pone a prueba la madurez del ecosistema PC. Rotar anclas criptográficas de más de una década es, desde la seguridad, incuestionable. Lo que queda en entredicho es nuestro modelo de soporte: depende de decisiones opacas de fabricantes y de prácticas de actualización muy desiguales. El reto para los próximos años es claro: ¿vamos a aprovechar este aviso para construir PCs que vivan más tiempo de forma segura, o aceptaremos que la vida útil real quede marcada por fechas de caducidad que casi nadie conoce?

Comentarios

Deja un comentario

Aún no hay comentarios. ¡Sé el primero!

Publicaciones relacionadas

Dron de consumo DJI flotando en el aire sobre un paisaje, visto de cerca
Tecnología

DJI contra la FCC: cuando la seguridad nacional redibuja el cielo de los drones

Análisis de la demanda de DJI contra la FCC por el veto a drones y sus implicaciones para la seguridad, la competencia y Europa y América Latina.

5 min de lectura
Logotipos de Paramount, Netflix y Warner Bros. Discovery sobre un fondo oscuro de cine
Tecnología

Paramount vs. Netflix: la guerra por Warner Bros. Discovery que puede encarecer el streaming para todos

Paramount y Netflix se disputan Warner Bros. Discovery. Analizamos cómo esta guerra de ofertas puede redefinir el streaming en Europa y América Latina.

5 min de lectura
Televisor Panasonic de gran tamaño expuesto en una tienda de electrónica.
Tecnología

Panasonic cede sus televisores a Skyworth: adiós a la era japonesa, hola a la era de las plataformas

Panasonic entrega sus televisores a Skyworth y cierra la era japonesa, mientras el poder pasa de la fabricación al software, los datos y la regulación.

5 min de lectura

Mantente informado

Recibe las últimas noticias de IA y tecnología en tu correo.