Lo que necesitarás#
- Windows 10 (build 19041+) o Windows 11 (cualquier build)
- Firmware UEFI con Secure Boot habilitado
- Acceso a una cuenta de administrador
- Conocimiento básico de PowerShell y Windows Update
- 500 MB de espacio libre en disco para las actualizaciones de certificados
- Conexión activa a internet para Windows Update
Descripción general#
Microsoft está depreciando certificados antiguos de Secure Boot en junio de 2026, lo que requiere que todos los usuarios de Windows actualicen sus certificados de seguridad de arranque. Esta guía te explica cómo verificar el estado actual de tus certificados e instalar los certificados actualizados para mantener la seguridad del sistema y evitar fallas de arranque.
Paso 1 — Verificar el estado de Secure Boot y la versión actual del certificado#
Antes de actualizar, confirma que Secure Boot esté habilitado y verifica la versión de tu certificado. Se requieren permisos de administrador.
Confirm-SecureBootUEFI
Get-SecureBootPolicy | Select-Object -Property Version, PublisherSi el primer comando devuelve True, Secure Boot está activo. El segundo comando muestra la versión actual de tu certificado. Las versiones inferiores a 2024.1 necesitan actualizarse.
Paso 2 — Buscar actualizaciones de certificados disponibles a través de Windows Update#
Microsoft distribuye las actualizaciones de certificados de Secure Boot a través de Windows Update como KB5012170 (Windows 11) o KB5012653 (Windows 10).
$Session = New-Object -ComObject Microsoft.Update.Session
$Searcher = $Session.CreateUpdateSearcher()
$Updates = $Searcher.Search("KB5012170 OR KB5012653").Updates
$Updates | Select-Object Title, IsInstalledSi IsInstalled muestra False, la actualización está disponible pero no instalada. Si no aparece nada, tu sistema puede estar ya actualizado.
Paso 3 — Instalar la actualización de certificados de Secure Boot#
Ejecuta Windows Update manualmente para instalar el paquete de certificados. Se requiere PowerShell con permisos de administrador.
Install-Module PSWindowsUpdate -Force -SkipPublisherCheck
Import-Module PSWindowsUpdate
Get-WindowsUpdate -KBArticleID KB5012170 -Install -AcceptAll -AutoRebootPara Windows 10, reemplaza KB5012170 con KB5012653. El sistema descargará aproximadamente 250 MB y requerirá un reinicio. El reinicio activa el proceso de actualización del firmware UEFI.
Paso 4 — Aplicar certificados durante la fase de actualización del firmware#
Después del reinicio, tu sistema mostrará una pantalla azul con la etiqueta “Updating firmware” durante 3-10 minutos. No apagues el equipo. El firmware UEFI aplica los nuevos certificados de Secure Boot durante esta fase. Una vez completado, Windows arranca normalmente.
Paso 5 — Verificar la instalación del certificado actualizado#
Después del arranque, confirma que los nuevos certificados estén activos. Se requiere PowerShell con permisos de administrador.
Get-SecureBootPolicy | Select-Object Version, Publisher, TimeStamp
Get-SecureBootUEFI -Name db | Select-Object -ExpandProperty Bytes | Measure-ObjectLa versión ahora debería mostrar 2024.1 o posterior, y el TimeStamp debería reflejar una fecha reciente. La base de datos (db) debería contener más de 8000 bytes.
Paso 6 — Habilitar actualizaciones de DBX de Secure Boot para protección continua#
Configura Windows para que aplique automáticamente actualizaciones de la lista de revocación de Secure Boot (DBX) en el futuro.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v "EnableDBXUpdates" /t REG_DWORD /d 1 /fEsta configuración del registro garantiza que las futuras revocaciones de certificados se apliquen automáticamente a través de Windows Update, manteniendo la protección contra cargadores de arranque comprometidos.
Probando que funciona#
Verifica el cumplimiento completo de los certificados con los requisitos de Microsoft para 2026 usando la herramienta de verificación de Secure Boot.
$Policy = Get-SecureBootPolicy
$Policy.Version -ge [version]"2024.1" -and $Policy.Publisher -eq "Microsoft Corporation"Salida esperada:
TrueAdemás, verifica el Visor de eventos para confirmar la aplicación exitosa del certificado:
Get-WinEvent -LogName System | Where-Object {$_.Id -eq 4103 -and $_.Message -like "*Secure Boot*"} | Select-Object -First 1Deberías ver un evento que confirme “Secure Boot database updated successfully” dentro de la última hora.
Problemas comunes#
Error: “Confirm-SecureBootUEFI : Cmdlet not supported on this platform” Tu sistema usa BIOS legacy en lugar de UEFI. Los certificados de Secure Boot solo se aplican a sistemas UEFI. Consulta el manual de tu placa madre para convertir de BIOS legacy a modo UEFI, o verifica que tu firmware esté en modo UEFI a través de
msinfo32(busca “BIOS Mode: UEFI”).La actualización se instala pero la versión del certificado permanece sin cambios después del reinicio Windows Update instaló el paquete pero tu firmware UEFI lo rechazó debido a incompatibilidad. Actualiza el firmware de tu placa madre a la última versión desde el sitio web del fabricante, luego reintenta la actualización del certificado. Algunos sistemas fabricados antes de 2015 pueden no soportar el nuevo formato de certificado.
El sistema no arranca después de la actualización del certificado con error “Secure Boot Violation” Un dispositivo periférico o cargador de arranque está firmado con un certificado revocado. Inicia en la configuración del firmware UEFI (generalmente F2 o Del durante el arranque), deshabilita temporalmente Secure Boot, arranca Windows, luego actualiza todo el firmware del controlador de almacenamiento y la tarjeta gráfica antes de volver a habilitar Secure Boot.
Próximos pasos#
Después de actualizar los certificados, explora las políticas de Windows Defender Application Control (WDAC) para complementar Secure Boot con integridad de código en tiempo de ejecución. Usa Get-CIPolicy para examinar las políticas actuales. Considera implementar políticas personalizadas de Secure Boot con Set-SecureBootUEFI para entornos empresariales. Monitorea el Microsoft Security Response Center para futuras actualizaciones de certificados, y revisa las especificaciones de Secure Boot del UEFI Forum en uefi.org para una comprensión más profunda del proceso de validación de la cadena de certificados.