Se aplica a
Windows 11 version 23H2, all editions

Fecha de lanzamiento:

12/5/2026

Versión:

Compilación del SO 22631.7079

Esta actualización acumulativa de Windows 11, versión 23H2 (KB5087420), incluye las mejoras y correcciones de seguridad más recientes, así como las actualizaciones no relacionadas con la seguridad de la versión preliminar opcional del mes pasado. Para obtener más información sobre las diferencias entre las actualizaciones de seguridad, las actualizaciones de vista previa opcionales no relacionadas con la seguridad, las actualizaciones fuera de banda (OOB) y la innovación continua, consulta Explicación de las actualizaciones mensuales de Windows. Para obtener información sobre la terminología de actualización de Windows, consulta los distintos tipos de actualizaciones de software de Windows.

Para ver las últimas actualizaciones sobre esta versión, visita el panel de estado de la versión de Windows o la página del historial de actualizaciones de Windows 11, versión 23H2.

Propina: El vídeo de este mes está disponible en el artículo Windows 11, versión 25H2 y 24H2.

Anuncios y mensajes

Esta sección proporciona notificaciones clave relacionadas con esta versión, incluidos anuncios, registros de cambios y avisos de finalización del soporte.

Expiración del certificado de arranque seguro de Windows

Importante:Los certificados de arranque seguro utilizados por la mayoría de los dispositivos Windows están configurados para expirar a partir de junio de 2026. Microsoft ha actualizado estos certificados en dispositivos de consumo y empresariales no administrados durante los últimos meses. Los dispositivos que no hayan recibido los certificados más recientes seguirán iniciándose y funcionando con normalidad, y las actualizaciones estándar de Windows seguirán instalándose. Seguiremos instalando los certificados más recientes a través de las actualizaciones de Windows en los próximos meses.

Puede comprobar el estado de su PC en la aplicación Seguridad de Windows. Si es administrador de TI, siga las instrucciones del Cuaderno de estrategias de arranque seguro para clientes de Windows y Windows Server.​​​​​​​

Cambiar fecha

Cambiar descripción

9 de junio de 2026

Revisión del problema conocido: Se ha actualizado la solución alternativa para "Es posible que se requieran dispositivos con una configuración de directiva de grupo de BitLocker no modificada para introducir su clave de recuperación de BitLocker"

20 de mayo de 2026

Se ha corregido el vínculo del Catálogo de Microsoft Update para que apunte a la actualización del 12 de mayo de 2026 en lugar de la actualización del 14 de abril de 2026.

13 de mayo de 2026

Nota de la versión de arranque seguro agregada: esta actualización agrega una nueva carpeta de SecureBoot en C:\Windowsen los dispositivos que reúnen los requisitos.

Mejoras

Esta actualización soluciona los problemas de seguridad del sistema operativo Windows. ​​​​​​​

Importante: Usa la KB5027397 EKB para actualizar a la versión 23H2 de Windows 11.

Esta actualización de seguridad contiene correcciones y mejoras de calidad de KB5082052 (publicada el 14 de abril de 2026). En el siguiente resumen se describen los problemas clave que se abordan en esta actualización. Además, se incluyen nuevas características disponibles. El texto en negrita entre corchetes indica el elemento o área del cambio.

  • [Arranque seguro] 

    • Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de los dispositivos aptos para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben los nuevos certificados solo después de demostrar que hay suficientes señales de actualización correctas, manteniendo un lanzamiento controlado y por fases. ​​​​​​​

    • Esta actualización agrega una nueva carpeta SecureBooten C:\Windowsen dispositivos aptos. La carpeta contiene scripts de ejemplo destinados a organizaciones con profesionales de TI que administran de forma activa las actualizaciones en toda su flota de dispositivos. Estos scripts se pueden usar para detectar el estado de actualización de certificados de arranque seguro y automatizar la implementación a través de un mecanismo de implementación segura en un entorno de Active Directory. Para obtener más información, consulta guía de automatización de arranque seguro de ejemplo E2E.

  • [Activo de configuración de país y operador (COSA)]Esta actualización actualiza los perfiles de determinados operadores de telefonía móvil.

  • [Horario de verano (DST)] Esta actualización es compatible con el cambio de horario de verano de 2023 para la República Árabe de Egipto.

  • [Itinerancia de estado empresarial (ESR)] Ahora se puede administrar ESR a través de Copias de seguridad de Windows para directivas de organizaciones. Esto facilita la configuración para los administradores de TI. Para obtener más información, consulta Itinerancia de estado empresarial.

  • [Microsoft Defender SmartScreen] Esta actualización permite Microsoft Defender SmartScreen en el shell de Windows para enviar hashes de archivo para los archivos sin firmar. Este soporte permite a SmartScreen usar modelos de reputación más recientes y mejora la calidad de las comprobaciones de reputación de las aplicaciones.

  • Escritorio remoto (problema conocido)] Se ha corregido: esta actualización corrige un problema que afecta al cuadro de diálogo de advertencia de seguridad Conexión a Escritorio remoto. El cuadro de diálogo podría representarse incorrectamente en un escenario de varios monitores cuando los monitores tenían un ajuste de escala diferente. Esto puede ocurrir después de instalar la actualización de seguridad de abril de 2026 (KB5082052). Para obtener más información, consulte Información sobre las advertencias de seguridad al abrir archivos de Escritorio remoto (RDP).

Si ya has instalado actualizaciones anteriores, el dispositivo descargará e instalará solo las nuevas actualizaciones incluidas en este paquete.

Para obtener más información sobre vulnerabilidades de seguridad, consulta la Guía de actualización de seguridady la Actualización de seguridad de mayo de 2026.

Windows 11 actualización de pila de mantenimiento (KB5086307): 22621.6937

Esta actualización realiza mejoras de calidad en la pila de servicio, que es el componente que instala las actualizaciones de Windows. Las actualizaciones de la pila de servicio (SSU) garantizan que se disponga de una pila de servicio sólida y de confianza, para que los dispositivos puedan recibir e instalar las actualizaciones de Microsoft. Para obtener más información sobre las SSU, consulte Simplificar la implementación local de actualizaciones de pila de mantenimiento.

Problemas conocidos de esta actualización

Síntoma

Es posible que algunos dispositivos con una configuración de la directiva de grupo de BitLocker no recomendada tengan que introducir su clave de recuperación de BitLocker en el primer reinicio después de instalar esta actualización.

Este problema solo afecta a un número limitado de sistemas en los que se cumplen TODAS las condiciones siguientes. Es poco probable que estas condiciones se den en dispositivos personales que no estén administrados por departamentos de TI.

  1. BitLocker está habilitado en la unidad del sistema operativo.

  2. Se configura la directiva de grupo "Configurar el perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" y PCR7 se incluye en el perfil de validación (o la clave del Registro equivalente se establece manualmente).

  3. Información del sistema (msinfo32.exe) notifica el enlace PCR7 de estado de arranque seguro como "No posible".

  4. El certificado Windows UEFI CA 2023 está presente en la base de datos (DB) de firma de arranque seguro del dispositivo, lo que hace que el dispositivo sea apto para que Administración de arranque de Windows con la firma de 2023 sea el predeterminado.

  5. El dispositivo aún no está ejecutando Administración de arranque de Windows con la firma de 2023.

En este escenario, la clave de recuperación de BitLocker solo debe especificarse una vez; los reinicios posteriores no desencadenarán una pantalla de recuperación de BitLocker, siempre y cuando la configuración de la directiva de grupo no cambie. Para obtener ayuda para encontrar la clave de recuperación de BitLocker, consulta el artículo Buscar la clave de recuperación de BitLocker.

Se recomienda a las empresas auditar sus directivas de grupo de BitLocker para verificar la inclusión explícita de PCR7 y comprobar en msinfo32.exe el estado del enlace PCR7 antes de instalar esta actualización. (Consulte la solución alternativa que se muestra a continuación).

Solución alternativa 

Este problema se soluciona en KB5093998. Después de instalar KB5093998,  los dispositivos con esta configuración de directiva de grupo incompatible no pueden instalar el Administrador de arranque de Windows firmado con 2023. Si el dispositivo se ha afectado, el id. de evento 1032 aparecerá en el registro de eventos del sistema al instalar actualizaciones de Windows: "No se aplicó la actualización de arranque seguro del Administrador de arranque (2023) debido a una incompatibilidad conocida con la configuración actual de BitLocker".

Si recibes el id. de evento 1032, Microsoft recomienda encarecidamente quitar la configuración de directiva de grupo antes de instalar las actualizaciones para que puedas instalar el Administrador de arranque de Windows firmado con 2023 y seguir recibiendo las últimas protecciones de arranque seguro.

Quitar la configuración directiva de grupo antes de instalar la actualización (recomendado) 

  1. Abra el Editor de directiva de grupo (gpedit.msc) o la Consola de administración de directivas de grupo.

  2. Vaya a: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo.

  3. Establezca "Configurar perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" en "No configurado".

  4. Ejecute el siguiente comando en los dispositivos afectados para propagar el cambio de directiva: gpupdate /force

  5. Ejecuta el siguiente comando para suspender BitLocker (si BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:

  6. Ejecuta el siguiente comando para reanudar BitLocker (si BitLocker está habilitado en la unidad C:): manage-bde -protectors -enable C:

  7. Esto actualiza los enlaces de BitLocker para usar el perfil de PCR predeterminado seleccionado por Windows.

Si no quieres quitar esta configuración de directiva de grupo, puedes instalar el nuevo Administrador de arranque de Windows suspendiendo temporalmente BitLocker e instalando la actualización de arranque seguro. Para ello:

  1. Ejecuta el siguiente comando para suspender BitLocker (si BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:

  2. Ejecuta el siguiente comando: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Reinicie el dispositivo.

  4. Una vez instalado correctamente el nuevo Administrador de arranque de Windows, habilita BitLocker ejecutando el comando: manage-bde -protectors -enable C:

Cómo obtener esta actualización

Antes de instalar esta actualización

Microsoft combina la actualización de pila de mantenimiento (SSU) más reciente para tu sistema operativo con la actualización acumulativa más reciente (LCU). Para obtener información general sobre las SSU, consulte Actualizaciones de pila de mantenimiento.

Instalar esta actualización

Para instalar esta actualización, use uno de los siguientes canales de publicación de Windows y Microsoft.

Disponible

Siguiente paso

Se incluye

Esta actualización se descarga e instala automáticamente desde Windows Update y Microsoft Update.

Si quieres quitar esta actualización

Antes de decidir quitar esta actualización, consulta Comprender los riesgos: por qué no debes desinstalar las actualizaciones de seguridad.

Para quitar la LCU después de instalar el paquete combinado de SSU y LCU, use la opción de línea de comandos DISM/Remove-Package con el nombre del paquete LCU como argumento. Puede encontrar el nombre del paquete usando este comando: DISM /online /get-packages.

Si ejecuta el Instalador Independiente de Windows Update (wusa.exe) con el conmutador /uninstall en el paquete combinado no funcionará porque el paquete combinado contiene la SSU. No se puede quitar la SSU del sistema después de la instalación.

Información de archivo

Para obtener una lista de los archivos proporcionados en esta actualización, descargue la información del archivo para la actualización acumulativa 5087420.   

Para obtener una lista de los archivos proporcionados en la actualización de la pila de mantenimiento, descargue la información del archivo para la SSU (KB5086307), versiones 22621.6937

Temas relacionados

Microsoft Store para Empresas y Educación con Configuration Manager

Obtener actualizaciones de aplicaciones y juegos en Microsoft Store

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad