Es un hecho: muchos certificados de arranque seguro caducan pronto, lo que deja a miles de ordenadores expuestos a graves amenazas. ¿Cómo saber si el tuyo corre peligro? En esta entrada te contamos cómo saber si necesitas actualizar los certificados Secure Boot y cómo hacerlo.
¿Qué es Secure Boot y por qué depende de certificados?
Secure Boot: de seguro has visto este nombre más de una vez en los últimos meses. Resulta que es uno de esos componentes del PC que no sabemos que existen hasta que fallan. Tomó relevancia cuando Microsoft lo convirtió en requisito indispensable para instalar Windows 11, y ahora se vuelve a robar los focos.
Puede que ahora te preguntes cómo saber si necesitas actualizar los certificados Secure Boot. Pero antes, conviene entender qué es exactamente este componente y, para ello, hay que empezar por el principio. Cuando enciendes tu ordenador, el sistema operativo (Windows, Ubuntu) no toma el control de inmediato. ¿Qué ocurre antes?
La placa base ejecuta un firmware (programa informático básico) conocido como UEFI (el sucesor moderno de la mítica BIOS). Pues bien, Secure Boot es una característica de la UEFI diseñada para garantizar que el software que se ejecuta durante el arranque sea de confianza. ¿Y cómo sabe la placa base en qué software confiar? Utiliza una cadena de confianza basada en certificados digitales.
En castellano, usa certificados criptográficos y claves públicas que vienen preinstaladas de fábrica en el chip de la placa base. Estos certificados incluyen:
- La clave PK (Platform Key), que establece la relación de confianza entre el fabricante de la placa y el dueño del sistema.
- La base de datos KEK (Key Exchange Key), que son certificados para verificar las actualizaciones de la base de datos de firmas.
- La base de datos db (Signature Database), que contiene los certificados de los sistemas operativos y driver permitidos.
- La base de datos dbx (Forbidden Signature Database), que es la lista negra de certificados revocados por ser vulnerables.
¿Qué está pasando con Secure Boot?
Cuando el PC arranca, la UEFI verifica el cargador de arranque, o bootloader, contra la base de datos db. Si la firma coincide, el equipo enciende. Pero si el certificado ha sido revocado o está en la lista negra dbx, el arranque se bloquea. Así se protege al equipo de cualquier malware de bajo nivel, como los temidos rootkits.
Pero, ¿por qué es necesario saber si necesitas actualizar los certificados Secure Boot? Aquí viene el meollo del asunto. La gran mayoría de ordenadores modernos confían en los certificados emitidos por Microsoft. Pero los certificados emitidos por esta entidad en 2011 tenían 15 años de vigencia. Es decir, caducan en 2026, y otros lo harán de forma escalonada en el futuro cercano. (Mira el tema Cómo comprobar la fecha de los certificados Secure Boot).
Y el problema es que las amenazas a nivel de firmware no dejan de aparecer. Por eso, Microsoft y Linux han tenido que actualizar masivamente la lista negra dbx. Pero si tu sistema no actualiza estas bases de datos de certificados, quedará desprotegido ante malware indetectable. O en el mejor de los casos, el equipo se negará a arrancar por no reconocer las nuevas solicitudes de seguridad que el sistema operativo requiera.
Cómo saber si necesitas actualizar los certificados Secure Boot
La pregunta es, ¿cómo saber si necesitas actualizar los certificados Secure boot en tu equipo? Existen varias señales claras. La más obvia es la antigüedad del ordenador: si fue fabricado antes de 2024, lo más probable es que tenga los certificados de 2011. Por el contrario, los equipos más recientes ya incluyen los nuevos certificados.
Igual pasa si tu ordenador todavía utiliza Windows 10 sin una suscripción a Extended Security Updates (ESU). Microsoft fue claro: solo Windows 11 y Windows 10 con ESU recibirán actualizaciones de seguridad, entre ellas los nuevos certificados Secure boot. Esta es una razón de peso para considerar la actualización a Windows 11 si tu hardware lo soporta.
Si tienes Windows 11, puedes salir de dudas fácilmente yendo a Configuración – Privacidad y seguridad – Seguridad de Windows – Seguridad del dispositivo. Mira en el apartado Secure boot: si el icono está en verde, significa que todo está bien y no necesitas hacer nada más. Si está en amarillo, requiere de actualización manual; el rojo indica que hay una vulnerabilidad que bloquea la obtención del nuevo certificado.
Comprueba desde PowerShell si necesitas actualizar los certificados Secure Boot
Otra forma de saber si necesitas actualizar los certificados Secure Boot es mediante un comando de PowerShell. Abre esta herramienta como Administrador y pega el siguiente comando ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’). Presiona Enter y mira el resultado:
- True: Todo está bien. Tu sistema ya tiene el nuevo certificado “Windows UEFI CA 2023”.
- False: ¡Peligro! Tu sistema todavía depende de los certificados antiguos que expirarán pronto. Tienes que actualizarlos cuando antes.
Pasos a seguir si necesitas actualizar los certificados Secure Boot
Si el comando de PowerShell devolvió False, no te preocupes. Sigue esta ruta para actualizar los certificados Secure Boot de forma definitiva y recuperar la tranquilidad de tener un equipo seguro.
- En Windows 11, ve a Windows Update e instala las actualizaciones pendientes. Esto es suficiente para la mayoría de los usuarios de Windows.
- Actualiza el firmware desde la web del fabricante. Esto es útil en equipos más antiguos. Visita la web del fabricante de tu PC (Dell, Lenovo, HP, ASUS, etc.) y busca la actualización de firmware (BIOS/UEFI) más reciente.
- Restablece los valores de fábrica de la UEFI para permitir nuevas actualizaciones. Para ello, entra a la BIOS/UEFI, ve a la pestaña Security o Boot y busca la sección Secure Boot. Allí, selecciona la opción Reset to Default Keys o Install Default Secure Boot Keys. Esto borrará las claves viejas y cargará las firmas actualizadas de fábrica.
En conclusión, saber si necesitas actualizar los certificados Secure Boot es muy importante: no lo dejes para después. Ya ves que verificarlo no toma mucho tiempo y es una tarea sencilla. Con esto, te aseguras de que tu equipo puede arrancar cada día con la tranquilidad que hasta ahora lo ha hecho.
Desde muy joven he sentido una gran curiosidad por todo lo relacionado con los avances científicos y tecnológicos, en especial aquellos que nos hacen la vida más fácil y entretenida. Me encanta estar al tanto de las últimas novedades y tendencias, y compartir mis experiencias, opiniones y consejos sobre los equipos y gadgets que uso. Esto me llevó a convertirme en redactor web hace poco más de cinco años, enfocado principalmente a los dispositivos Android y sistemas operativos Windows. He aprendido a explicar con palabras simples aquello que resulta complicado para que mis lectores puedan entenderlo fácilmente.