«Habrá que reiniciar varias veces»: Microsoft hará cambios en Windows la próxima semana
Microsoft fija el plazo para actualizar los certificados en Windows 11.
Microsoft advirtió a los propietarios de Windows 11: si antes de junio de 2026 el equipo no pasa a los nuevos certificados de arranque seguro, el sistema no dejará de encenderse, pero perderá progresivamente una protección importante contra programas maliciosos que atacan el equipo antes de que arranque Windows. Para aclarar la situación, Microsoft realizó recientemente una sesión detallada de preguntas y respuestas que cubrió la publicación Windows Latest.
El problema está relacionado con Secure Boot, o arranque seguro. Este mecanismo verifica si se puede confiar en los programas que se ejecutan junto con el equipo. La comprobación se realiza antes del inicio de Windows, por lo que Secure Boot ayuda a bloquear programas maliciosos de arranque como BlackLotus.
Los certificados antiguos de Secure Boot, que se han utilizado en equipos con Windows desde 2011, vencen en junio de 2026. Microsoft lleva varios años migrando dispositivos a los nuevos certificados de 2023. La compañía explicó los detalles de la transición durante la sesión de preguntas y respuestas con ingenieros de Microsoft.
La conclusión principal para los usuarios comunes es sencilla. Un equipo con Windows 11 no se convertirá en un «ladrillo» si el propietario ignora la fecha límite. El sistema seguirá arrancando y funcionando. Pero la seguridad del arranque empeorará, porque Microsoft dejará de enviar a ese dispositivo actualizaciones críticas de los componentes de arranque y nuevas listas de firmas revocadas necesarias para bloquear cargadores peligrosos.
Se puede comprobar el estado de Secure Boot en la aplicación «Seguridad de Windows». Hay que abrir la sección «Seguridad del dispositivo» y buscar el apartado «Arranque seguro». Un icono verde significa que todo está bien. Uno amarillo o rojo advierte y exige acciones que Windows mostrará junto al mensaje.
Microsoft también advirtió que la actualización de certificados se realiza con cautela, porque afecta al firmware UEFI de la placa base. En algunos dispositivos el procedimiento puede requerir varios reinicios. La compañía explicó que ese comportamiento es normal: primero Windows prepara los certificados, luego el firmware aplica los cambios, y después el sistema carga el nuevo cargador de arranque.
Los usuarios no necesitan desactivar BitLocker manualmente antes de la actualización. Según Microsoft, el proceso tiene en cuenta que el disco está cifrado y vuelve a vincular las claves para que Windows Hello y otras funciones protegidas sigan funcionando después de los reinicios. Pueden surgir problemas en entornos empresariales complejos o con actualizaciones de firmware que cambien las claves de la plataforma.
En los equipos antiguos con BIOS tradicional la actualización no se iniciará, porque esos dispositivos no soportan Secure Boot físicamente. Si el equipo usa UEFI pero el arranque seguro está desactivado en la configuración, Microsoft tampoco aplicará los nuevos certificados automáticamente. La compañía implementó esa protección debido a las diferencias entre firmwares de placas base: algunas placas actualizan correctamente los certificados con la función desactivada, y otras pueden romper el arranque.
Para las organizaciones, Microsoft recomienda no habilitar la actualización en todo el parque de equipos de inmediato. Es mejor probar primero varios modelos de hardware, porque existen demasiadas variantes de placas base y firmwares. Los administradores pueden supervisar el estado de los certificados mediante los registros de Windows, scripts de PowerShell de Microsoft y herramientas de gestión de dispositivos.
Habrá dificultades específicas para las empresas que usan el arranque por red PXE. Microsoft explicó que ese escenario no permite ofrecer simultáneamente dos cargadores al dispositivo cliente. Por tanto, las organizaciones deberán planificar la transición y actualizar las imágenes de arranque solo después de que los equipos necesarios ya hayan recibido los certificados de 2023.
Los servidores también requerirán más trabajo manual. A diferencia de los equipos normales con Windows 11, Windows Server no participa en el despliegue escalonado automático de Secure Boot mediante el mecanismo estándar de Microsoft. Los administradores de servidores tendrán que aplicar los certificados manualmente usando comandos de PowerShell.
Microsoft también advirtió que futuras actualizaciones importantes de Windows con el tiempo empezarán a exigir componentes de arranque firmados con los certificados de 2023. La próxima actualización Windows 11 26H2 aún debería instalarse sin ese requisito, pero más adelante el instalador detendrá la actualización para no dejar el dispositivo inoperable.
Los nuevos certificados están pensados para más de una década: el certificado raíz para la cadena de 2023 es válido hasta 2038. Al mismo tiempo, Microsoft ya mira más allá, porque en la década de 2030 el nuevo hardware deberá migrar a certificados que tengan en cuenta la criptografía poscuántica. Para los usuarios actuales, el consejo principal es sencillo: comprobar Secure Boot en Windows con antelación y no dejar la actualización para el último momento.