Si usas Windows 11 (o aún Windows 10 en soporte), te interesa: los certificados de Secure Boot “2011” empiezan a caducar desde junio de 2026 y Microsoft ya está preparando la transición hacia los certificados 2023 para que el arranque siga siendo confiable. La forma más sencilla de mantenerse al día es dejar activadas las actualizaciones y aplicar lo que Microsoft publique en Windows Update. TECHCOMMUNITY.MICROSOFT.COM

En corto: sin estos certificados nuevos, tu equipo seguirá arrancando, pero dejará de recibir ciertas actualizaciones de seguridad críticas del Boot Manager/Secure Boot, lo que eleva el riesgo frente a bootkits. Soporte de Microsoft

Resumen rápido: el aviso de Microsoft y el calendario (junio de 2026)

Qué pasa: caduca la cadena “2011” de Secure Boot (KEK, UEFI CA, Windows Production PCA). En su lugar entran las CAs 2023.
Cuándo: primeros vencimientos desde junio de 2026 (y otro hito en octubre de 2026 para el certificado que firma el cargador de Windows).
A quién afecta: equipos con Windows 10/11 soportados y Windows Server (2012→2025). Los Copilot+ PC nuevos no se ven afectados.
Cómo llega el cambio: Microsoft planea actualizar vía Windows Update (y colabora con OEM para firmware/BIOS).

La prensa también se ha hecho eco, recordando el impacto para usuarios domésticos y empresas.

Qué certificados cambian (KEK, DB y UEFI CA 2023)

Microsoft ha publicado la tabla oficial con los que caducan y con qué se reemplazan:

Microsoft Corporation KEK CA 2011 → KEK CA 2023 (firma actualizaciones de DB/DBX).
Microsoft UEFI CA 2011 → UEFI CA 2023 y Option ROM UEFI CA 2023 (se separa la confianza en bootloaders de la de Option ROMs).
Windows Production PCA 2011 → Windows UEFI CA 2023 (firma del bootloader de Windows).

Traducción práctica: tu firmware (DB/KEK) y Windows deben confiar en las nuevas CAs 2023 para seguir instalando parches de arranque y validar componentes de terceros tras junio/octubre de 2026.

¿Qué pasa si no los actualizo? Riesgos y escenarios

El PC sigue arrancando, pero pierde parches de seguridad de Boot Manager/Secure Boot → exposición a bootkits (ej. BlackLotus).
No confiará software/firmware firmado con las nuevas CAs a partir de esas fechas.
Entornos dual-boot o con periféricos que cargan Option ROMs podrían notar incompatibilidades si no se actualiza la confianza.

Cómo se actualizarán: Windows Update vs. métodos para empresas

Para la mayoría de usuarios (PC doméstico con Windows Update activo):

Microsoft aplicará la actualización de certificados automáticamente en la mayoría de equipos soportados. Deja Secure Boot activado y mantén Windows Update al día.

Para empresas/IT (equipos gestionados):

Si envían datos de diagnóstico y permiten que Microsoft gestione, el despliegue llega por Windows Update (CFR).
Si prefieres control total, Microsoft documenta claves y guías (p. ej., MicrosoftUpdateManagedOptIn para optar por la gestión de certificados) y procedimientos para entornos air-gapped. Coordínate con tu OEM para firmwares.

Ojo: alternar Secure Boot OFF/ON puede borrar variables activas con certificados 2023 aplicados por Windows. Mejor no tocar si ya está en ON.

Comprobaciones: ¿mi PC ya tiene los certificados nuevos?

Estado de Secure Boot: Win + R → msinfo32 → Secure Boot State: On. Si está en On, vas bien para recibir los cambios por Windows Update.
Notas de tu OEM: algunos fabricantes (ej. Dell) marcan en la ficha de BIOS si “incluye los certificados 2023”. Mantén BIOS/UEFI al día. Dell
Actualizaciones de Windows: Microsoft está avisando en notas de versión (por ejemplo, KB del 9-sep-2025). Si ves el aviso, sigue el enlace a la guía.

Plan de acción (checklist rápido)

Para casa (Windows 11/10 soportado)

Verifica Secure Boot: ON con msinfo32.
Asegúrate de tener Windows Update activo y aplica los acumulativos mensuales.
Revisa si tu BIOS tiene una versión reciente; si el OEM menciona “2023 Secure Boot Certificates”, instálala.

Para pymes/empresas

Revisa tu postura: ¿Microsoft gestionará (diagnóstico ON) o IT gestionará? Decide y documenta.
Coordina con OEM para firmware y valida laboratorios con imágenes WinPE/MDT/SCCM si usas medios personalizados.
Supervisa Release Notes de Windows 11/10 para saber cuándo llegan los paquetes a tu anillo.

Tabla rápida — ¿Cómo me llegará la actualización de certificados?

Edición / Entorno	Canal recomendado	¿Qué comprobar?	Notas clave
Windows 11 Home / Pro (PC doméstico)	Windows Update (acumulativos mensuales)	Secure Boot: ON (`msinfo32` o `Confirm-SecureBootUEFI`), equipo soportado	Desde 13-feb-2024 Windows incluye capacidad para aplicar Windows UEFI CA 2023 en la DB. Mantén Windows Update activo.
Windows 11 Pro/Enterprise/Education (empresa)	Windows Update for Business / Intune / WSUS / ConfigMgr	Política de actualización, diagnóstico habilitado si quieres que Microsoft gestione el cambio, estado Secure Boot	Microsoft intentará actualizar certificados automáticamente en “gran parte” del parque, pero el cliente es responsable de validar.
Windows 10 (en soporte / ESU)	Windows Update / WSUS / ConfigMgr	Igual que arriba; planifica ESU si aplica	Caducidades: junio 2026 (KEK 2011) y octubre 2026 (Windows Production PCA 2011 → Windows UEFI CA 2023).
Windows Server	Windows Update / WSUS	Secure Boot ON y compatibilidad firmware	Misma transición KEK/DB; coordina con OEM si hay requisitos de BIOS/UEFI.
Entornos especiales (air-gapped / VDI / imágenes doradas)	Pausar/validar por anillos, aplicar en laboratorio	Exportar variables UEFI y verificar DB/KEK 2023	Usa cmdlets SecureBoot y guías para OEM; valida compatibilidad de firmware antes del despliegue masivo.

Mini-script PowerShell — Verificar “2023” en DB y KEK

Requisitos: ejecutar como Administrador, equipo UEFI, módulo SecureBoot disponible, Secure Boot habilitado.

<# 
  Check-SecureBoot2023.ps1
  Comprueba:
   - Secure Boot activo
   - Presencia de "Windows UEFI CA 2023" en DB
   - Presencia de "Microsoft Corporation KEK CA 2023" en KEK
  Nota: usa detección "best-effort" extrayendo certs DER de las variables UEFI.
#>

function Test-Admin { ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator) }

if (-not (Test-Admin)) { Write-Error "Ejecuta PowerShell como Administrador."; exit 1 }

# 1) Estado de Secure Boot
try {
  $sbOn = Confirm-SecureBootUEFI
} catch {
  Write-Error "Este equipo no soporta Secure Boot o PowerShell no tiene privilegios."; exit 1
}

if (-not $sbOn) { Write-Warning "Secure Boot está DESACTIVADO. Actívalo antes de continuar."; }

# 2) Utilidades: extraer certificados DER de un blob (búsqueda simple de ASN.1 0x30 0x82)
Add-Type -AssemblyName System.Security
function Get-DerCertificatesFromBytes {
  param([byte[]]$Bytes)
  $certs = @()
  for ($i=0; $i -lt ($Bytes.Length-4); $i++) {
    if ($Bytes[$i] -eq 0x30 -and $Bytes[$i+1] -eq 0x82) {
      # Leer longitud codificada en 2 bytes (big endian)
      $len = ($Bytes[$i+2] -shl 8) -bor $Bytes[$i+3]
      if ($i + 4 + $len -le $Bytes.Length) {
        $slice = $Bytes[$i..($i+3+$len)]
        try {
          $x = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList (, [byte[]]$slice)
          if ($x.Subject -and $x.Issuer) { $certs += $x }
        } catch { }
      }
    }
  }
  return $certs
}

function Get-UEFICerts {
  param([ValidateSet('db','kek')] [string]$Name)
  $v = Get-SecureBootUEFI -Name $Name  # devuelve .Bytes
  if (-not $v.Bytes) { return @() }
  return Get-DerCertificatesFromBytes -Bytes $v.Bytes
}

# 3) Leer DB y KEK
$dbCerts  = Get-UEFICerts db
$kekCerts = Get-UEFICerts kek

# 4) Buscar certificados "2023"
$hasDb2023  = $dbCerts.Subject -match 'Windows UEFI CA 2023'
$hasKek2023 = $kekCerts.Subject -match 'Microsoft Corporation KEK CA 2023'

# 5) Informe
$os = (Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion')
$hostInfo = [PSCustomObject]@{
  ComputerName = $env:COMPUTERNAME
  OSVersion    = "$($os.ProductName) $($os.ReleaseId) (Build $($os.CurrentBuildNumber))"
  SecureBoot   = $sbOn
  DB_Has_WindowsUEFI_CA_2023 = [bool]$hasDb2023
  KEK_Has_MS_Corp_KEK_CA_2023 = [bool]$hasKek2023
  Timestamp    = (Get-Date)
}
$hostInfo | Format-List

if ($hostInfo.DB_Has_WindowsUEFI_CA_2023 -and $hostInfo.KEK_Has_MS_Corp_KEK_CA_2023) {
  Write-Host "`nSTATUS: OK — Certificados 2023 presentes en DB y KEK." -ForegroundColor Green
} else {
  Write-Warning "`nSTATUS: ATENCIÓN — Falta al menos uno de los certificados 2023."
  Write-Host "• DB 2023 (Windows UEFI CA 2023) llega a través de actualizaciones desde 13-feb-2024 (KB5036210 y posteriores)." -ForegroundColor Yellow
  Write-Host "• Revisa políticas de Windows Update/WSUS y firmware OEM. Consulta guía oficial." -ForegroundColor Yellow
}

Qué valida el script

Secure Boot activo (Confirm-SecureBootUEFI).
Que en la DB exista “Windows UEFI CA 2023” (habilita futuras actualizaciones del bootloader).
Que en la KEK exista “Microsoft Corporation KEK CA 2023” (firma actualizaciones de DB/DBX).

Nota: el análisis DER es “best-effort”. En equipos con firmware/DB personalizados, usa auditorías adicionales o herramientas de tu OEM.

Cómo usarlo (rápido)

Abre PowerShell como Administrador.
Guarda el script como Check-SecureBoot2023.ps1, ejecútalo:
.\Check-SecureBoot2023.ps1
Resultado OK = ya tienes DB 2023 y KEK 2023. Si no, confirma que Windows Update/WSUS estén entregando el paquete y revisa BIOS/UEFI del OEM.

Referencias clave (por si necesitas documentarlas)

Resumen y tabla oficial (qué caduca y qué entra): soporte de Microsoft. Soporte de Microsoft
FAQ de actualización (responsabilidades y automatización): soporte Microsoft. Soporte de Microsoft
KB5036210 (DB con Windows UEFI CA 2023 disponible desde 13-feb-2024): soporte Microsoft. Soporte de Microsoft
Cmdlets SecureBoot (Confirm/Get-SecureBootUEFI): documentación oficial. Microsoft Learn
Aviso IT Pro (fecha de caducidad: junio 2026): Windows IT Pro Blog. TECHCOMMUNITY.MICROSOFT.COM

Preguntas frecuentes (FAQs)

¿Mi PC dejará de arrancar si no actualizo?
No por defecto: el sistema seguirá arrancando, pero no recibirá ciertas medidas de seguridad de arranque. Riesgo ↑ frente a bootkits.

¿Windows Update lo arregla solo?
En muchos equipos sí, si están soportados, con diagnóstico habilitado y Secure Boot en ON. Aun así, tú eres responsable de verificar.

¿Por qué algunos medios hablan de “julio” y otros de “junio”?
Microsoft fija el comienzo de expiraciones en junio de 2026 y otro hito en octubre de 2026 (Windows bootloader). Algunos artículos redondean a “julio”. Quédate con las fechas oficiales.

¿Necesito tocar el firmware manualmente?
Solo si tu OEM lo indica o estás fuera del flujo gestionado. En general, no desactives Secure Boot y mantén BIOS/UEFI al día.

Conclusión

La keyword “certificados Secure Boot Windows 11” refleja justo lo que preocupa hoy: caducidad en 2026, qué cambia y cómo prepararse. Con Windows Update activo, Secure Boot en ON y BIOS al día, tu transición a los certificados 2023 será limpia. Para flotas IT, define si Microsoft gestiona o si prefieres un despliegue propio con OEM en el bucle.

Hola, encantado de conocerte.

Regístrate para recibir las últimas entradas, cada domingo.

Certificados Secure Boot en Windows 11: qué son, por qué caducan en 2026 y cómo actualizar

Resumen rápido: el aviso de Microsoft y el calendario (junio de 2026)

Qué certificados cambian (KEK, DB y UEFI CA 2023)

¿Qué pasa si no los actualizo? Riesgos y escenarios

Cómo se actualizarán: Windows Update vs. métodos para empresas

Comprobaciones: ¿mi PC ya tiene los certificados nuevos?

Plan de acción (checklist rápido)

Tabla rápida — ¿Cómo me llegará la actualización de certificados?

Mini-script PowerShell — Verificar “2023” en DB y KEK

Preguntas frecuentes (FAQs)

Conclusión

Hola, encantado de conocerte.

Regístrate para recibir las últimas entradas, cada domingo.

Recibe nuevas entradas cada semana

Hola, encantado de conocerte.

Regístrate para recibir las últimas entradas, cada domingo.

Tambien te puede interesar

Mantenimiento de CMS: guía para proteger tu web

Gestor de contenidos: qué es y cómo usarlo bien

Fundamentos de las aplicaciones web