Certificados Secure Boot no actualizados: estos son los riesgos a los que te enfrentas

Cuando hablamos de la seguridad de Windows, hay una pieza fundamental que suele pasar desapercibida y a la que no solemos prestar la atención debida. Sin embargo, los certificados Secure Boot no actualizados pueden convertirse en una fuente de problemas. Los que se implementaron allá por 2011 están llegando al final de su vida útil, y si no hacemos el cambio a la nueva cadena de confianza de 2023, nos podríamos encontrar con algunos quebraderos de cabeza en el corto y medio plazo.

El Arranque Seguro o Secure Boot es, básicamente, el guardián que se encarga de que, al encender el PC, solo se cargue software firmado y autorizado, evitando que malwares traicioneros como los bootkits se instalen antes incluso de que el sistema operativo tome el control.

¿Qué ocurre exactamente cuando los certificados caducan?

Para empezar, es importante quitarse un miedo de encima: si los certificados expiran, tu ordenador no se va a convertir en un ladrillo ni dejará de arrancar de la noche a la mañana. Podrás seguir iniciando sesión y usando tus programas habituales. Sin embargo, entrarás en un estado de seguridad degradada. Esto significa que el sistema ya no podrá recibir nuevas protecciones contra vulnerabilidades detectadas en el proceso de arranque temprano.

Además, si no tienes la base de datos DB de 2023, Windows no podrá instalar los gestores de arranque más modernos ni actualizar las listas de revocación DBX. En plata, tu PC seguirá funcionando, pero con los certificados Secure Boot no actualizados estará mucho más expuesto a amenazas emergentes y perderás la capacidad de endurecer la seguridad de herramientas como BitLocker.

Certificados Secure Boot no actualizados: Cómo saber si tu equipo ya está al día

No hace falta ser un experto en informática para comprobar esto. La forma más sencilla es abrir la aplicación Seguridad de Windows, entrar en el apartado de Seguridad del dispositivo y mirar el estado del Arranque seguro. Si ves un icono verde, vas por buen camino. Si aparece en amarillo o rojo, es señal de que hay algo que corregir para asegurar la integridad de la cadena de confianza.

Si prefieres ir al grano y usar la consola para descartar el problema de los certificados Secure Boot no actualizados:, puedes abrir PowerShell como administrador y ejecutar el comando Confirm-SecureBootUEFI. Si te devuelve un valor de True, significa que el arranque seguro está activo. Para ser más precisos y saber si ya tienes el certificado de 2023, puedes lanzar este comando: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'). Si el resultado es Verdadero (True), puedes respirar tranquilo porque ya estás protegido.

Métodos de actualización: de lo automático a lo manual

Para solucionar el problema de los certificados Secure Boot no actualizados, la gran mayoría de los usuarios no tendrán que mover un dedo, ya que Microsoft despliega estas actualizaciones de forma gradual a través de Windows Update. El proceso es inteligente: Windows detecta el hardware, descarga los certificados y espera a un reinicio natural para aplicar el nuevo Administrador de arranque. No obstante, existen casos donde la automatización falla o el administrador de una flota de dispositivos necesita acelerar el proceso.

Para quienes gestionan entornos empresariales con Intune o GPO, existen opciones más avanzadas. Se puede habilitar la participación administrada de Microsoft Update o, para los más impacientes, activar la opción de «Habilitar actualizaciones de certificados de Arranque Seguro», que suele agilizar la instalación. En despliegues masivos, lo ideal es realizar un inventario de hardware y probar la actualización en un grupo reducido de máquinas antes de lanzarla a todo el parque para evitar incompatibilidades de firmware.

Si eres un usuario doméstico y el comando anterior te dio un resultado False, no intentes instalar el certificado como si fuera un driver común. Lo correcto es mantener Windows actualizado y, muy importante, visitar la web del fabricante de tu placa base o portátil para instalar la última versión de la BIOS/UEFI, ya que muchos OEM incluyen los certificados nuevos directamente en el firmware.

Soluciones rápidas ante errores comunes

A veces, el sistema nos avisa de que hay actualizaciones disponibles pero que no se han aplicado al firmware. Esto se refleja a menudo en el Visor de Eventos con el ID de evento 1801. Si te ocurre esto y tienes el arranque seguro activo en la BIOS, puedes forzar la tarea mediante PowerShell administrando el registro. El comando reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f es la llave para desbloquear la actualización.

Tras ejecutar ese comando, es necesario iniciar la tarea programada específica mediante Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" y reiniciar el equipo. En ocasiones, podría hacer falta reiniciar un par de veces y repetir el comando de la tarea programada para que el firmware acepte los cambios y el icono de seguridad vuelva a ponerse en verde.

Hay que tener ojo con los errores 1802 o 1803, ya que suelen indicar que la actualización está bloqueada por condiciones críticas de hardware o que no se encuentra la clave de intercambio (KEK). En estos casos, lo más sensato es contactar con el soporte técnico del fabricante del dispositivo, ya que podría requerir una intervención manual en la BIOS o una actualización de firmware muy específica.

Para mantener el PC blindado frente a ataques de arranque, es fundamental evitar los certificados Secure Boot no actualizados. Que la transición a los certificados nuevos se complete correctamente antes de que los antiguos caduquen totalmente. Manteniendo la BIOS actualizada y revisando el estado en la aplicación de seguridad, evitaremos que el sistema quede expuesto a vulnerabilidades y garantizaremos que todas las actualizaciones futuras de Microsoft se instalen sin contratiempos.