Expiración del certificado de arranque seguro de Windows
Importante: Los certificados de arranque seguro utilizados por la mayoría de los dispositivos Windows están configurados para expirar a partir de junio de 2026. Esto puede afectar la capacidad de ciertos dispositivos personales y empresariales para arrancar de forma segura si no se actualizan a tiempo. Para evitar interrupciones, se recomienda revisar las instrucciones y tomar medidas para actualizar los certificados de antemano.
Para obtener información detallada y los pasos de preparación para dispositivos Windows, consulte Expiración del certificado de arranque seguro de Windows y actualizaciones de CA.
Para obtener los detalles y los pasos de preparación de Windows Server, consulte los siguientes recursos:
Resumen
En este artículo se enumeran los problemas de seguridad y las mejoras de calidad incluidas en esta actualización de seguridad acumulativa.
Se aplica a: Windows 10 ESU
Importante: Usa la KB5015684 EKB para actualizar a Windows 10, versión 22H2.
Esta actualización de seguridad incluye correcciones y mejoras de calidad que forman parte de las siguientes actualizaciones:
El siguiente es un resumen de los problemas que soluciona esta actualización al instalar esta actualización. Si hay nuevas características, también las enumera. El texto en negrita entre paréntesis indica el elemento o el área del cambio que estamos documentando.
-
[Advertencias de seguridad de Escritorio remoto (problema conocido)] Corregido: El cuadro de diálogo de advertencia de seguridad Conexión a Escritorio remoto podía representarse incorrectamente en configuraciones de varios monitores con diferentes configuraciones de escala de pantalla. Este problema puede ocurrir después de instalar la actualización de seguridad de Windows publicada el 14 de abril de 2026 (KB5082200).
-
[Arranque seguro]
-
Esta actualización habilita el informe de estado dinámico para los estados de arranque seguro en Seguridad de Windows App.
-
Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de los dispositivos aptos para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben los nuevos certificados solo después de demostrar que hay suficientes señales de actualización correctas, manteniendo un lanzamiento controlado y por fases.
-
-
[Horario de verano] Actualización de la República Árabe de Egipto para apoyar el orden de cambio de horario de verano del gobierno en 2023.
Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas actualizaciones de este paquete.
Para obtener más información sobre vulnerabilidades de seguridad, consulta el nuevo sitio web de la Guía de actualizaciones de seguridad y la Novedades de seguridad de mayo de 2026.
Para obtener información sobre la terminología de las actualizaciones de Windows, consulte el artículo sobre los tipos de actualizaciones de Windows y los tipos de actualizaciones mensuales de calidad. Para obtener información general sobre Windows 10, versión 22H2, consulta su página del historial de actualizaciones.
Problemas conocidos en esta actualización
-
Es posible que se requieran dispositivos con una configuración de directiva de grupo de BitLocker no modificada para introducir su clave de recuperación de BitLockerSíntomas
Es posible que algunos dispositivos con una configuración de la directiva de grupo de BitLocker no recomendada tengan que introducir su clave de recuperación de BitLocker en el primer reinicio después de instalar esta actualización.
Este problema solo afecta a un número limitado de sistemas en los que se cumplen TODAS las condiciones siguientes. Es poco probable que estas condiciones se den en dispositivos personales que no estén administrados por departamentos de TI.
-
BitLocker está habilitado en la unidad del sistema operativo.
-
Se configura la directiva de grupo "Configurar el perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" y PCR7 se incluye en el perfil de validación (o la clave del Registro equivalente se establece manualmente).
-
Información del sistema (msinfo32.exe) notifica el enlace PCR7 de estado de arranque seguro como "No posible".
-
El certificado Windows UEFI CA 2023 está presente en la base de datos (DB) de firma de arranque seguro del dispositivo, lo que hace que el dispositivo sea apto para que Administración de arranque de Windows con la firma de 2023 sea el predeterminado.
-
El dispositivo aún no está ejecutando Administración de arranque de Windows con la firma de 2023.
En este escenario, la clave de recuperación de BitLocker solo debe especificarse una vez; los reinicios posteriores no desencadenarán una pantalla de recuperación de BitLocker, siempre y cuando la configuración de la directiva de grupo no cambie. Para obtener ayuda para encontrar la clave de recuperación de BitLocker, consulte el artículo Buscar la clave de recuperación de BitLocker.
Se recomienda a las empresas auditar sus directivas de grupo de BitLocker para verificar la inclusión explícita de PCR7 y comprobar en msinfo32.exe el estado del enlace PCR7 antes de instalar esta actualización.
Resolución
Estamos trabajando en una resolución y proporcionaremos más información cuando esté disponible.
Para solucionar temporalmente este problema, quite la configuración de directiva de grupo antes de instalar la actualización (recomendado)
-
Abra el Editor de directiva de grupo (gpedit.msc) o la Consola de administración de directivas de grupo.
-
Vaya a: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo.
-
Establezca "Configurar perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" en "No configurado".
-
Ejecute el siguiente comando en los dispositivos afectados para propagar el cambio de directiva: gpupdate /force
-
Ejecute el siguiente comando para suspender BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:
-
Ejecute el siguiente comando para reanudar BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -enable C:
-
Esto actualiza los enlaces de BitLocker para usar el perfil de PCR predeterminado seleccionado por Windows.
-
Se aplica a: Windows 10 Enterprise LTSC 2021 y Windows 10 IoT Enterprise LTSC 2021
Importante: Usa la KB5003791 EKB para actualizar a la versión 21H2 de Windows 10 en las ediciones compatibles.
Esta actualización de seguridad incluye correcciones y mejoras de calidad que forman parte de las siguientes actualizaciones:
El siguiente es un resumen de los problemas que soluciona esta actualización al instalar esta actualización. Si hay nuevas características, también las enumera. El texto en negrita entre paréntesis indica el elemento o el área del cambio que estamos documentando.
-
[Advertencias de seguridad de Escritorio remoto (problema conocido)] Corregido: El cuadro de diálogo de advertencia de seguridad Conexión a Escritorio remoto podía representarse incorrectamente en configuraciones de varios monitores con diferentes configuraciones de escala de pantalla. Este problema puede ocurrir después de instalar la actualización de seguridad de Windows publicada el 14 de abril de 2026 (KB5082200).
-
[Arranque seguro]
-
Esta actualización habilita el informe de estado dinámico para los estados de arranque seguro en Seguridad de Windows App.
-
Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de los dispositivos aptos para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben los nuevos certificados solo después de demostrar que hay suficientes señales de actualización correctas, manteniendo un lanzamiento controlado y por fases.
-
-
[Horario de verano] Actualización de la República Árabe de Egipto para apoyar el orden de cambio de horario de verano del gobierno en 2023.
Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas actualizaciones de este paquete.
Para obtener más información sobre vulnerabilidades de seguridad, consulta el nuevo sitio web de la Guía de actualizaciones de seguridad y la Novedades de seguridad de mayo de 2026.
Para obtener información sobre la terminología de las actualizaciones de Windows, consulte el artículo sobre los tipos de actualizaciones de Windows y los tipos de actualizaciones mensuales de calidad. Para obtener información general sobre Windows 10, versión 22H2, consulta su página del historial de actualizaciones.
Problemas conocidos en esta actualización
-
Es posible que se requieran dispositivos con una configuración de directiva de grupo de BitLocker no modificada para introducir su clave de recuperación de BitLockerSíntomas
Es posible que algunos dispositivos con una configuración de la directiva de grupo de BitLocker no recomendada tengan que introducir su clave de recuperación de BitLocker en el primer reinicio después de instalar esta actualización.
Este problema solo afecta a un número limitado de sistemas en los que se cumplen TODAS las condiciones siguientes. Es poco probable que estas condiciones se den en dispositivos personales que no estén administrados por departamentos de TI.
-
BitLocker está habilitado en la unidad del sistema operativo.
-
Se configura la directiva de grupo "Configurar el perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" y PCR7 se incluye en el perfil de validación (o la clave del Registro equivalente se establece manualmente).
-
Información del sistema (msinfo32.exe) notifica el enlace PCR7 de estado de arranque seguro como "No posible".
-
El certificado Windows UEFI CA 2023 está presente en la base de datos (DB) de firma de arranque seguro del dispositivo, lo que hace que el dispositivo sea apto para que Administración de arranque de Windows con la firma de 2023 sea el predeterminado.
-
El dispositivo aún no está ejecutando Administración de arranque de Windows con la firma de 2023.
En este escenario, la clave de recuperación de BitLocker solo debe especificarse una vez; los reinicios posteriores no desencadenarán una pantalla de recuperación de BitLocker, siempre y cuando la configuración de la directiva de grupo no cambie. Para obtener ayuda para encontrar la clave de recuperación de BitLocker, consulte el artículo Buscar la clave de recuperación de BitLocker.
Se recomienda a las empresas auditar sus directivas de grupo de BitLocker para verificar la inclusión explícita de PCR7 y comprobar en msinfo32.exe el estado del enlace PCR7 antes de instalar esta actualización.
Resolución
Estamos trabajando en una resolución y proporcionaremos más información cuando esté disponible.
Para solucionar temporalmente este problema, quite la configuración de directiva de grupo antes de instalar la actualización (recomendado)
-
Abra el Editor de directiva de grupo (gpedit.msc) o la Consola de administración de directivas de grupo.
-
Vaya a: Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo.
-
Establezca "Configurar perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas" en "No configurado".
-
Ejecute el siguiente comando en los dispositivos afectados para propagar el cambio de directiva: gpupdate /force
-
Ejecute el siguiente comando para suspender BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:
-
Ejecute el siguiente comando para reanudar BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -enable C:
-
Esto actualiza los enlaces de BitLocker para usar el perfil de PCR predeterminado seleccionado por Windows.
-
Actualización de pila de mantenimiento de Windows 10 (KB5084130): versión 19041.7183
Microsoft combina ahora la actualización de pila de mantenimiento (SSU) más reciente para tu sistema operativo con la actualización acumulativa más reciente (LCU). Las SSU mejoran la confiabilidad del proceso de actualización e incluyen correcciones para la pila de mantenimiento, el componente que instala las actualizaciones de Windows.
Nota: Esta actualización de pila de mantenimiento (SSU) incluye lógica mejorada para comprobar si un dispositivo está hospedado en Azure, aprovechando una cadena de certificados actualizada para validación. Para asegurarse de que el dispositivo puede acceder a los dominios de actualización de certificados necesarios para descargar e instalar correctamente las actualizaciones de certificados, consulte Descargas de certificados y listas de revocación y Azure detalles de la entidad emisora de certificados. Para obtener más información sobre las SSU, consulta Actualizaciones de pila de mantenimiento.
Cómo obtener esta actualización
Antes de instalar esta actualización
Importante Debes tener instalada la actualización de pila de mantenimiento (SSU) más reciente. Si no instalas la SSU más reciente antes de aplicar las actualizaciones de Windows, es posible que la actualización de Windows no se ofrezca hasta que se instale la SSU más reciente.
Implementación
Si implementa esta actualización, elija una de las siguientes opciones en función del escenario de instalación:
Para el mantenimiento de imágenes del sistema operativo sin conexión
-
Si tu imagen no tiene el 25 de julio de 2023 (KB5028244) o LCU posterior, debes instalar la SSU especial independiente del 13 de octubre de 2023 (KB5031539) antes de instalar esta actualización.
Para la implementación de Windows Server Update Services (WSUS) o al instalar el paquete independiente desde el Catálogo de Microsoft Update
Obtener e instalar esta actualización
Para obtener e instalar esta actualización, usa uno de los siguientes canales de versión de Windows y Microsoft.
|
Disponible |
Siguiente paso |
|
|
Esta actualización se descargará e instalará automáticamente desde Windows Update. |
|
Disponible |
Siguiente paso |
|
|
Esta actualización se descargará e instalará automáticamente desde Windows Update para empresas de acuerdo con las directivas configuradas. |
|
Disponible |
Siguiente paso |
|
|
Para obtener el paquete independiente para esta actualización, ve al sitio web del Catálogo de Microsoft Update . Para obtener información sobre cómo descargar e instalar actualizaciones desde el Catálogo de actualizaciones, consulta Cómo descargar actualizaciones que incluyen controladores y revisiones desde el Catálogo de Windows Update. |
|
Disponible |
Siguiente paso |
|
|
Esta actualización se sincronizará automáticamente con Windows Server Update Services (WSUS) si configura Productos y clasificaciones de la siguiente manera:
Para configurar el servidor WSUS para que se sincronice en función de los productos y clasificaciones, consulta Sincronización de la actualización por producto y clasificación. Para importar actualizaciones manualmente en WSUS, consulta Importar actualizaciones a WSUS mediante PowerShell. |
Información de archivo
Se proporciona una lista de los archivos incluidos en esta actualización en un archivo CSV (delimitado por comas) (*.csv). El archivo se puede abrir en un editor de texto como el Bloc de notas o en Microsoft Excel.
Nota: La versión en inglés (Estados Unidos) de esta actualización de software puede contener archivos para idiomas adicionales.
Información relacionada
Si quieres quitar esta actualización
PRECAUCIÓN Antes de decidir quitar esta actualización, consulta Comprender los riesgos: por qué no debes desinstalar las actualizaciones de seguridad.
Para quitar la LCU después de instalar el paquete combinado de SSU y LCU, use la opción de línea de comandos DISM/Remove-Package con el nombre del paquete LCU como argumento. Puede encontrar el nombre del paquete usando este comando: DISM /online /get-packages.
Si ejecuta el Instalador Independiente de Windows Update (wusa.exe) con el conmutador /uninstall en el paquete combinado no funcionará porque el paquete combinado contiene la SSU. No se puede quitar la SSU del sistema después de la instalación.
Aviso de actualizaciones de aplicaciones de Microsoft Store
Las actualizaciones de Windows no instalan las actualizaciones de aplicaciones de Microsoft Store. Si eres un usuario de empresa, consulta Aplicaciones de Microsoft Store: Configuration Manager. Si eres usuario consumidor, consulta Obtener actualizaciones de aplicaciones y juegos en Microsoft Store.
Información sobre la finalización del soporte
Fin del soporte de Windows 10, versiones 21H2/22H2 y Windows 10 Enterprise LTSC 2021
Microsoft ya no proporcionará actualizaciones de software gratuitas de Windows Update, asistencia técnica ni correcciones de seguridad en las siguientes fechas de finalización:
♦ Windows 10, versión 21H2: El soporte finalizó el 13 de junio de 2023
♦ Windows 10, versión 22H2: El soporte finalizó el 14 de junio de 2025
♦ Windows 10 Enterprise LTSC 2021: 12 de enero de 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 de enero de 2032
Nota: Para seguir recibiendo actualizaciones de seguridad críticas e importantes para Windows 10, consulte Actualizaciones de seguridad ampliada (ESU) de Windows 10. De lo contrario, se recomienda actualizar a una versión posterior de Windows.
