Los certificados que sostienen el Arranque Seguro (Secure Boot) en millones de equipos con Windows y Linux empiezan a vencer en junio de 2026, y Microsoft viene empujando una actualización escalonada para reemplazarlos. El punto clave: los equipos que no reciban los nuevos certificados seguirán arrancando con normalidad, pero dejarán de poder instalar componentes de arranque firmados y actualizaciones de revocación, quedando cada vez más expuestos a bootkits como BlackLotus.
Qué vence y cuándo
El esquema de certificados de 2011 llega a su fin en etapas: la Microsoft Corporation KEK CA 2011 vence el 24 de junio de 2026; la Microsoft UEFI CA 2011 —la que firma el shim de Linux y bootloaders de terceros— el 27 de junio; y la Windows Production PCA 2011, que firma el Windows Boot Manager, el 19 de octubre. Sus reemplazos son la familia de certificados 2023 (KEK CA 2023, UEFI CA 2023 y Windows UEFI CA 2023), que hay que provisionar antes de esas fechas.
Qué se rompe y qué no
Conviene desarmar el alarmismo: un equipo que no actualice no se queda sin arrancar, y las actualizaciones normales de Windows y Linux siguen funcionando. Lo que se pierde es la capacidad de confiar en nuevos componentes de arranque firmados y, sobre todo, de recibir actualizaciones de la lista de revocación DBX, que es la que bloquea las firmas de malware conocido. Un parque que quede congelado en los certificados viejos no podrá incorporar futuras revocaciones: ahí es donde crece, con el tiempo, el riesgo de bootkits que se cargan antes que el sistema operativo.
Qué hacer en Windows y en Linux
En Windows 10 y 11, los certificados 2023 llegan por Windows Update en un despliegue por fases (la app Seguridad de Windows muestra el estado en Seguridad del dispositivo > Arranque seguro). Requiere tener Secure Boot habilitado. Para parques administrados, Microsoft documenta en la KB5062710 la activación vía clave de registro (AvailableUpdates en HKLM\SYSTEM\CurrentControlSet\Control\Secureboot), desplegable con Intune o GPO. Atención los administradores: Windows Server no recibe la actualización automáticamente —hay que provisionarla a mano en Server 2012 hasta 2025—, y ese es el principal punto de acción.
En Linux, las distribuciones ya publican un shim firmado con ambos certificados (2011 y 2023): Red Hat lo entregó en shim-16.1 para RHEL 8/9/10, y Ubuntu y Debian lo distribuyen por sus repositorios. La actualización de las variables de firmware se hace con fwupd, conviene probarla en un equipo antes de empujarla a toda la flota, y en virtualización hay que actualizar el firmware UEFI del hipervisor (edk2-ovmf) para las nuevas VMs.
El verdadero riesgo está en lo que nadie actualiza
El mayor problema no son las PCs nuevas —que ya vienen con los certificados 2023— sino el hardware legacy, los servidores físicos que rara vez reciben firmware y los dispositivos IoT que podrían quedar permanentemente fuera del esquema de revocaciones. Para equipos de infraestructura, junio y octubre de 2026 son un buen momento para inventariar qué equipos tienen Secure Boot habilitado, cuáles ya tomaron los certificados nuevos y cuáles necesitan intervención manual. ¿Ya tenés mapeado tu parque para esta transición, sobre todo los Windows Server? Te leemos en los comentarios.
Fuentes
- Microsoft Support — Windows Secure Boot certificate expiration and CA updates (KB5062710)
- Microsoft Tech Community — Secure Boot playbook for certificates expiring in 2026
- Red Hat — Expiration of Secure Boot signing certificates in 2026
- Ars Technica — Windows and Linux users: the deadline to update Secure Boot keys is near
