Microsoft Windows 11

    Secure Boot en riesgo: qué deben hacer usuarios de Windows y Linux antes del 24 de junio

    Autor: Carlos Monje   |   Publicado: 23/06/2026

    Millones de equipos con Windows y Linux se acercan a una fecha importante para la seguridad del arranque: el 24 de junio de 2026. Ese día empieza a expirar uno de los certificados históricos usados por Secure Boot, la tecnología UEFI que ayuda a verificar que el sistema cargue componentes confiables durante el inicio.

    Anuncio

    Aunque algunos titulares han presentado el tema como si las computadoras fueran a dejar de funcionar de inmediato, la realidad es más precisa: el problema principal no es que todos los equipos dejen de arrancar ese día, sino que los dispositivos que no actualicen sus certificados pueden entrar progresivamente en un estado de seguridad degradado, con problemas futuros para recibir actualizaciones de arranque, instalar sistemas operativos modernos o mantener una cadena de confianza actualizada.

    Idea clave: si usas Windows, Linux o arranque dual, debes revisar si tu equipo tiene Secure Boot actualizado. No se trata de entrar en pánico, sino de aplicar actualizaciones, revisar el firmware y confirmar que el sistema confía en los nuevos certificados de 2023.

    1. ¿Qué está pasando con Secure Boot?

    Secure Boot es una función de seguridad integrada en el firmware UEFI de muchos equipos modernos. Su objetivo es comprobar que los componentes que se cargan durante el arranque, como firmware, cargadores de arranque y otros elementos críticos, estén firmados por entidades confiables.

    Desde hace años, gran parte del ecosistema de PC ha dependido de certificados de Microsoft emitidos en 2011. Estos certificados forman parte de la cadena de confianza usada por Windows y también por muchas distribuciones Linux que necesitan arrancar en equipos con Secure Boot activado.

    Anuncio

    El problema es que esos certificados tienen fecha de expiración. El certificado Microsoft Corporation KEK CA 2011, usado para autorizar actualizaciones de bases de datos de Secure Boot, expira el 24 de junio de 2026. Otro certificado relevante, usado para firmar cargadores de arranque de terceros como el shim de Linux, expira días después. Por eso, los fabricantes, Microsoft, distribuciones Linux y administradores de sistemas deben migrar hacia los certificados nuevos de 2023.

    2. ¿Qué es Secure Boot y por qué importa?

    Secure Boot ayuda a proteger el proceso de arranque contra software no autorizado. Esto es importante porque existen amenazas capaces de intentar cargarse antes del sistema operativo, en una etapa donde antivirus, EDR o herramientas de seguridad todavía no están activas.

    En términos simples, Secure Boot funciona como una cadena de confianza: el firmware verifica que el siguiente componente del arranque esté firmado correctamente. Si algo no coincide con las claves confiables almacenadas en el firmware, el sistema puede bloquear la carga de ese componente.

    Secure Boot ayuda a proteger contra

    • Modificaciones no autorizadas del proceso de arranque.
    • Cargadores de arranque alterados.
    • Bootkits UEFI y amenazas de bajo nivel.
    • Componentes no firmados que intenten ejecutarse antes del sistema operativo.
    • Manipulación temprana del sistema antes de que carguen las defensas tradicionales.

    Importante: Secure Boot no reemplaza antivirus, actualizaciones, copias de seguridad, cifrado, firewall ni buenas prácticas de seguridad. Es una capa adicional de protección durante el arranque.

    3. ¿Tu PC dejará de arrancar el 24 de junio?

    En la mayoría de casos, no. Los equipos que ya arrancan hoy con certificados existentes no deberían apagarse o dejar de funcionar automáticamente al llegar la fecha. La expiración no significa que todos los sistemas se bloqueen de un día para otro.

    El riesgo real es más progresivo: si el firmware no recibe los nuevos certificados, el equipo podría tener problemas en el futuro para aceptar cargadores de arranque nuevos, instalar ciertas versiones de Windows o Linux, recibir actualizaciones de seguridad relacionadas con el arranque o mantener una cadena de confianza actualizada.

    Lo que probablemente sí ocurrirá

    • Los equipos actualizados continuarán funcionando normalmente.
    • Windows Update seguirá entregando actualizaciones en dispositivos compatibles.
    • Los fabricantes publicarán actualizaciones de firmware para equipos que lo requieran.
    • Las distribuciones Linux actualizarán shim, grub y componentes relacionados.
    • Los administradores deberán validar equipos antiguos, servidores, estaciones críticas y entornos dual boot.

    Lo que no debes hacer: no desactives Secure Boot como solución permanente solo para evitar el aviso. Eso puede resolver un problema puntual de compatibilidad, pero reduce una capa importante de seguridad.

    4. ¿A quién afecta esta fecha límite?

    El cambio puede afectar a cualquier equipo que use Secure Boot y dependa de certificados antiguos. Esto incluye PCs con Windows, equipos con Linux, servidores, estaciones de trabajo, máquinas virtuales con arranque seguro, entornos de laboratorio, dispositivos industriales y equipos con arranque dual.

    Tipo de equipoNivel de riesgoQué revisar
    PC moderno con Windows 11 actualizado Bajo Windows Update, estado de Secure Boot y firmware del fabricante.
    Equipo con Windows 10 antiguo Medio a alto Soporte vigente, ESU si aplica, firmware y compatibilidad con certificados nuevos.
    Linux con Secure Boot activado Medio fwupd, shim, grub, kernel firmado y actualizaciones de la distribución.
    Arranque dual Windows + Linux Medio Que ambos sistemas arranquen después de aplicar actualizaciones de firmware y certificados.
    Servidores, IoT o equipos especializados Alto Firmware del proveedor, ventanas de mantenimiento, pruebas de arranque y plan de reversión.

    5. Qué deben hacer los usuarios de Windows

    En Windows, la recomendación principal es mantener el sistema actualizado y revisar la sección de seguridad del dispositivo. Microsoft ha incorporado información adicional en la aplicación de Seguridad de Windows para mostrar el estado de actualización de certificados de Secure Boot.

    Checklist para Windows

    • Ejecutar Windows Update y aplicar todas las actualizaciones pendientes.
    • Revisar Seguridad de Windows > Seguridad del dispositivo > Secure Boot.
    • Verificar si aparece alguna advertencia sobre certificados de Secure Boot.
    • Actualizar BIOS/UEFI desde la web oficial del fabricante del equipo.
    • Evitar herramientas no oficiales para modificar claves UEFI.
    • En equipos empresariales, validar con Intune, GPO o herramientas de inventario.
    • En Windows 10, revisar si el equipo seguirá recibiendo soporte o si requiere Extended Security Updates.
    Ruta sugerida en Windows:

1. Abrir Configuración.
2. Ir a Windows Update.
3. Instalar todas las actualizaciones pendientes.
4. Abrir Seguridad de Windows.
5. Ir a Seguridad del dispositivo.
6. Revisar el estado de Secure Boot.
7. Consultar la web del fabricante para actualizar BIOS/UEFI.

    6. Qué deben hacer los usuarios de Linux

    En Linux, la situación depende de la distribución, del firmware del equipo y de cómo se gestione Secure Boot. Muchas distribuciones usan un componente llamado shim, firmado para permitir que Linux arranque en sistemas con Secure Boot activado.

    La recomendación general es mantener la distribución actualizada, actualizar shim/grub/kernel, revisar actualizaciones de firmware mediante fwupd y verificar si el fabricante ya publicó soporte para los certificados nuevos.

    # En distribuciones con fwupd
sudo fwupdmgr refresh
sudo fwupdmgr get-updates
sudo fwupdmgr update

# En Debian/Ubuntu
sudo apt update
sudo apt upgrade

# En Fedora/RHEL/Rocky/AlmaLinux
sudo dnf update

    Checklist para Linux

    • Actualizar completamente la distribución.
    • Actualizar shim, grub y kernel desde repositorios oficiales.
    • Usar fwupd para revisar actualizaciones de firmware.
    • Consultar la documentación de la distribución.
    • Revisar si el equipo usa Secure Boot activado.
    • Evitar modificar manualmente bases de datos UEFI sin experiencia.
    • Probar reinicio después de aplicar actualizaciones.
    • En servidores, realizar la actualización en ventana de mantenimiento.

    Consejo para Linux: si fwupdmgr no muestra una actualización disponible, no significa necesariamente que tu equipo esté en peligro inmediato. Puede significar que el fabricante aún no publicó una actualización para tu modelo o que la distribución ya maneja parte del cambio mediante sus paquetes.

    7. Qué deben hacer quienes usan Windows y Linux en arranque dual

    En equipos con arranque dual, Secure Boot no pertenece a Windows ni a Linux, sino al firmware UEFI del equipo. Esto significa que ambos sistemas dependen de la misma base de confianza almacenada en el firmware.

    Si actualizas certificados desde Windows Update o mediante firmware del fabricante, el cambio puede beneficiar también al arranque de Linux, siempre que la distribución tenga componentes compatibles. Aun así, conviene probar ambos sistemas después de actualizar.

    Orden recomendado en dual boot

    1. Respaldar archivos importantes.
    2. Actualizar Windows completamente.
    3. Actualizar Linux completamente.
    4. Actualizar firmware BIOS/UEFI desde el fabricante.
    5. Reiniciar y probar Windows.
    6. Reiniciar y probar Linux.
    7. Verificar que Secure Boot siga activado si lo usabas antes.
    8. Documentar cualquier cambio realizado.

    8. Qué deben hacer las empresas

    Para empresas, el tema no debe tratarse como una simple actualización individual. Debe gestionarse como un cambio de seguridad en firmware, especialmente si existen cientos de equipos, servidores, estaciones críticas, sistemas industriales o entornos regulados.

    Plan empresarial recomendado

    • Inventariar equipos con Secure Boot activado.
    • Identificar modelos, fabricantes, versiones BIOS/UEFI y sistemas operativos.
    • Clasificar equipos críticos, servidores y estaciones especiales.
    • Validar disponibilidad de firmware actualizado por fabricante.
    • Probar el cambio en un grupo piloto.
    • Aplicar actualizaciones por fases.
    • Confirmar que Windows y Linux siguen arrancando correctamente.
    • Documentar resultados, errores y excepciones.
    • Definir plan de reversión si una actualización falla.
    • Monitorear alertas de Secure Boot en herramientas de gestión.

    Error empresarial común: asumir que Windows Update resolverá todos los casos. Algunos equipos pueden requerir firmware del fabricante, intervención manual, pruebas en laboratorio o soporte del proveedor.

    9. Qué pasa con servidores y máquinas virtuales

    Los servidores físicos, hipervisores y máquinas virtuales con Secure Boot también deben revisarse. En nubes públicas, plataformas como Google Cloud ya han publicado guías para instancias Shielded VM que dependen de certificados Secure Boot actualizados.

    En entornos empresariales, el riesgo no está solo en el sistema operativo, sino en la continuidad. Un servidor que no arranca después de una actualización mal probada puede causar interrupción de servicios críticos.

    Revisión para servidores

    • Confirmar si Secure Boot está activado.
    • Revisar firmware del servidor físico.
    • Revisar configuración del hipervisor.
    • Validar máquinas virtuales con Secure Boot habilitado.
    • Probar arranque después de aplicar parches.
    • Revisar imágenes base de Windows y Linux.
    • Mantener snapshots o respaldos antes de cambios críticos.
    • Ejecutar cambios en ventana de mantenimiento.

    10. ¿Conviene desactivar Secure Boot?

    Desactivar Secure Boot puede permitir que un equipo arranque si existe un problema de compatibilidad, pero no debe ser la solución principal. Al desactivarlo, pierdes una capa de verificación durante el arranque y aumentas el riesgo frente a amenazas de bajo nivel.

    La mejor práctica es actualizar certificados, firmware, sistema operativo y cargadores de arranque. Solo se debería desactivar Secure Boot temporalmente para diagnóstico, laboratorio o escenarios específicos, y siempre documentando el cambio.

    Recomendación: si necesitas desactivar Secure Boot para resolver un problema, documenta el motivo, aplica la corrección necesaria y vuelve a activarlo cuando sea posible.

    11. Señales de que debes revisar tu equipo cuanto antes

    Revisa con prioridad si

    • Tu equipo es antiguo y tiene Secure Boot activado.
    • Usas Windows 10 sin plan claro de soporte.
    • Tienes Linux con Secure Boot y no actualizas hace meses.
    • Usas arranque dual Windows + Linux.
    • Administras servidores o máquinas virtuales críticas.
    • Tu fabricante publicó actualización de BIOS/UEFI y aún no la aplicaste.
    • La app de Seguridad de Windows muestra advertencias sobre Secure Boot.
    • Tu distribución Linux publicó avisos sobre shim o Secure Boot.

    12. Checklist rápido antes del 24 de junio

    • Verificar si Secure Boot está activado.
    • Actualizar Windows o Linux completamente.
    • Actualizar BIOS/UEFI desde el fabricante.
    • Revisar estado de certificados en Seguridad de Windows si aplica.
    • Ejecutar fwupdmgr update en Linux si la distribución lo soporta.
    • Actualizar shim, grub y kernel desde repositorios oficiales.
    • Probar reinicio después de aplicar actualizaciones.
    • Evitar desactivar Secure Boot como solución permanente.
    • Respaldar datos importantes antes de cambios de firmware.
    • En empresas, hacer piloto antes de despliegue masivo.

    Artículos que recomendamos

    Tip final: trata esta fecha como una tarea de mantenimiento crítico. Actualiza, verifica, reinicia y documenta. En seguridad, lo peligroso no es solo la fecha de expiración, sino quedarse con firmware y certificados antiguos durante meses o años.

    Conclusión

    La fecha del 24 de junio de 2026 marca un punto importante en la transición de Secure Boot desde certificados antiguos de 2011 hacia certificados nuevos de 2023. No significa que todos los equipos con Windows y Linux vayan a fallar de inmediato, pero sí representa una advertencia clara: los sistemas deben actualizarse para mantener una cadena de arranque confiable.

    Los usuarios de Windows deben mantener Windows Update activo, revisar la app de Seguridad de Windows y aplicar firmware del fabricante cuando esté disponible. Los usuarios de Linux deben actualizar su distribución, shim, grub, kernel y revisar firmware con fwupd. Quienes usan arranque dual deben probar ambos sistemas después de cualquier cambio.

    Para empresas, el camino correcto es inventariar equipos, probar en piloto, actualizar por fases, documentar resultados y evitar soluciones improvisadas como desactivar Secure Boot masivamente. La seguridad del arranque es una capa crítica: no debe descuidarse.

    Resumen final

    Antes del 24 de junio de 2026, los usuarios de Windows y Linux deben revisar Secure Boot, aplicar actualizaciones del sistema, instalar firmware BIOS/UEFI del fabricante, actualizar certificados, mantener shim y grub al día en Linux, probar reinicios y evitar desactivar Secure Boot como solución permanente. La prioridad es conservar una cadena de arranque segura, compatible y preparada para futuras actualizaciones.

    Anuncio
    Visto: 20

    También te puede interesar


    Curso de Linux Gratis
    Curso de Linux Gratis

    Últimas noticias

    Please publish modules in offcanvas position.