Expiración del certificado de arranque seguro de Windows
Importante: Los certificados de arranque seguro utilizados por la mayoría de los dispositivos Windows están configurados para expirar a partir de junio de 2026. Esto puede afectar la capacidad de ciertos dispositivos personales y empresariales para arrancar de forma segura si no se actualizan a tiempo. Para evitar interrupciones, se recomienda revisar las instrucciones y tomar medidas para actualizar los certificados de antemano.
Para obtener información detallada y los pasos de preparación para dispositivos Windows, consulte Expiración del certificado de arranque seguro de Windows y actualizaciones de CA.
Para obtener los detalles y los pasos de preparación de Windows Server, consulte los siguientes recursos:
|
Cambiar fecha |
Cambiar descripción |
|
14 de abril de 2026 |
Problema conocido agregado: "Es posible que se requieran dispositivos con una configuración de directiva de grupo de BitLocker no modificada para introducir su clave de recuperación de BitLocker". |
Resumen
En este artículo se enumeran los problemas de seguridad y las mejoras de calidad incluidas en esta actualización de seguridad.
Se aplica a: Windows 10 ESU
Importante: Usa la KB5015684 EKB para actualizar a Windows 10, versión 22H2.
Esta actualización de seguridad incluye correcciones y mejoras de calidad que forman parte de las siguientes actualizaciones:
El siguiente es un resumen de los problemas que soluciona esta actualización al instalar esta actualización. Si hay nuevas características, también las enumera. El texto en negrita entre paréntesis indica el elemento o el área del cambio que estamos documentando.
-
[Inicio de sesión] Corregido: Después de instalar la actualización de Windows publicada el 10 de marzo de 2026 o después, es posible que algunos usuarios experimenten un problema al iniciar sesión en aplicaciones con una cuenta de Microsoft. Incluso cuando el dispositivo tiene una conexión a Internet en funcionamiento, aparece un error "sin Internet" durante el inicio de sesión e impide el acceso a los servicios y aplicaciones de Microsoft, como Microsoft Teams.
-
[Escritorio remoto] Esta actualización mejora la protección contra los ataques de suplantación de identidad (phishing) que usan archivos de Escritorio remoto (.rdp). Al abrir un archivo .rdp, Escritorio remoto muestra todas las opciones de configuración de conexión solicitadas antes de conectarse, con cada opción desactivada de forma predeterminada. La primera vez que abra un archivo .rdp en un dispositivo, aparecerá una advertencia de seguridad de un solo uso. Para obtener más información, consulte Información sobre las advertencias de seguridad al abrir archivos de Escritorio remoto (RDP).
-
[Arranque seguro]
-
Esta actualización habilita el informe de estado dinámico para los estados de arranque seguro en la aplicación Seguridad de Windows (configuración > actualización &> de seguridad Seguridad de Windows). Obtenga más información sobre las alertas de estado a través de distintivos y notificaciones. Ten en cuenta que estas mejoras están deshabilitadas de manera predeterminada en los dispositivos y servidores comerciales.
-
Esta actualización corrige un problema que podría provocar que un dispositivo entrara en Recuperación de BitLocker después de las actualizaciones de arranque seguro.
-
Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de los dispositivos aptos para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben los nuevos certificados solo después de demostrar que hay suficientes señales de actualización correctas, manteniendo un lanzamiento controlado y por fases.
-
Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas actualizaciones de este paquete.
Para obtener más información sobre vulnerabilidades de seguridad, consulta el nuevo sitio web de la Guía de actualizaciones de seguridad y la Novedades de seguridad de abril de 2026.
Para obtener información sobre la terminología de las actualizaciones de Windows, consulte el artículo sobre los tipos de actualizaciones de Windows y los tipos de actualizaciones mensuales de calidad. Para obtener información general sobre Windows 10, versión 22H2, consulta su página del historial de actualizaciones.
Nota Siga @WindowsUpdate para saber cuándo se publican nuevos contenidos en el panel de estado de versiones de Windows.
Problemas conocidos en esta actualización
Síntoma
Algunos dispositivos con una configuración de BitLocker directiva de grupo no modificada podrían ser necesarios para introducir su clave de recuperación de BitLocker en el primer reinicio después de instalar esta actualización.
Este problema solo afecta a un número limitado de sistemas en los que se cumplen TODAS las condiciones siguientes. Es poco probable que estas condiciones se encuentren en dispositivos personales no administrados por departamentos de TI.
-
BitLocker está habilitado en la unidad del sistema operativo.
-
Se configura la directiva de grupo "Configurar perfil de validación de plataforma TPM para configuraciones nativas de firmware UEFI" y PCR7 se incluye en el perfil de validación (o la clave del Registro equivalente se establece manualmente).
-
Información del sistema (msinfo32.exe) informa de enlace pcr7 de estado de arranque seguro como "No posible".
-
El certificado de Windows UEFI CA 2023 está presente en la base de datos de firmas de arranque seguro (DB) del dispositivo, lo que hace que el dispositivo sea apto para que el Administrador de arranque de Windows firmado con 2023 sea el predeterminado.
-
El dispositivo aún no está ejecutando el Administrador de arranque de Windows con firma de 2023.
En este escenario, la clave de recuperación de BitLocker solo debe especificarse una vez: los reinicios posteriores no desencadenarán una pantalla de recuperación de BitLocker, siempre y cuando la configuración de la directiva de grupo no cambie. Para obtener ayuda para encontrar la clave de recuperación de BitLocker, consulta el artículo Buscar la clave de recuperación de BitLocker.
Se recomienda a las empresas que auditen sus directivas de grupo de BitLocker para la inclusión explícita de PCR7 y comprueben msinfo32.exe del estado de enlace de su PCR7 antes de instalar esta actualización. (Consulte la opción 1 a continuación).
Solución alternativa
Opción 1: Quitar la configuración de directiva de grupo antes de instalar la actualización (recomendado)
-
Abre directiva de grupo Editor (gpedit.msc) o la Consola de administración de directiva de grupo.
-
Ve a: Plantillas administrativas > configuración del equipo > componentes de Windows > cifrado de unidad BitLocker > unidades del sistema operativo.
-
Establece "Configure TPM platform validation profile for native UEFI firmware configurations" en "Not Configured".
-
Ejecuta el siguiente comando en los dispositivos afectados para propagar el cambio de directiva: gpupdate /force
-
Ejecuta el siguiente comando para suspender BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:
-
Ejecuta el siguiente comando para reanudar BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -enable C:
-
Esto actualiza los enlaces de BitLocker para usar el perfil de PCR predeterminado seleccionado por Windows.
Opción 2: Aplicar la reversión de problemas conocidos (KIR) antes de instalar la actualización
Una reversión de problemas conocidos (KIR) está disponible para los clientes que no pueden quitar la directiva de grupo PCR7 antes de implementar esta actualización. Kir impide el cambio automático al Administrador de arranque de 2023, evitando así el desencadenador de recuperación de BitLocker. La kir debe implementarse antes de instalar la actualización en los dispositivos afectados. Póngase en contacto con el soporte técnico de Microsoft para empresas para obtener esta KIR.
Pasos siguientes
En una futura actualización de Windows se planea una solución permanente para este problema. Cuando esté disponible, se proporcionará más información.
Se aplica a: Windows 10 Enterprise LTSC 2021 y Windows 10 IoT Enterprise LTSC 2021
Importante: Usa la KB5003791 EKB para actualizar a la versión 21H2 de Windows 10 en las ediciones compatibles.
Esta actualización de seguridad incluye correcciones y mejoras de calidad que forman parte de las siguientes actualizaciones:
El siguiente es un resumen de los problemas que soluciona esta actualización al instalar esta actualización. Si hay nuevas características, también las enumera. El texto en negrita entre paréntesis indica el elemento o el área del cambio que estamos documentando.
-
[Inicio de sesión] Corregido: Después de instalar la actualización de Windows publicada el 10 de marzo de 2026 o después, es posible que algunos usuarios experimenten un problema al iniciar sesión en aplicaciones con una cuenta de Microsoft. Incluso cuando el dispositivo tiene una conexión a Internet en funcionamiento, aparece un error "sin Internet" durante el inicio de sesión e impide el acceso a los servicios y aplicaciones de Microsoft, como Microsoft Teams.
-
[Licencias] Mejorado: esta actualización soluciona un problema que afecta a la creación de imágenes del Canal de mantenimiento de Long-Term (LTSC) mediante el servicio y administración de imágenes de implementación (DISM). Las operaciones sin conexión de DISM en las ediciones siguientes no podían aplicar actualizaciones de seguridad debido a los límites de cumplimiento de licencias. Ahora, puedes usar DISM para agregar paquetes de seguridad durante la creación de imágenes sin conexión para LTSC.
-
Windows 10 IoT Enterprise LTSC 2021
-
SKU de Windows 10 Enterprise G
-
Windows 10 Enterprise N LTSC
-
-
[Escritorio remoto] Esta actualización mejora la protección contra los ataques de suplantación de identidad (phishing) que usan archivos de Escritorio remoto (.rdp). Al abrir un archivo .rdp, Escritorio remoto muestra todas las opciones de configuración de conexión solicitadas antes de conectarse, con cada opción desactivada de forma predeterminada. La primera vez que abra un archivo .rdp en un dispositivo, aparecerá una advertencia de seguridad de un solo uso. Para obtener más información, consulte Información sobre las advertencias de seguridad al abrir archivos de Escritorio remoto (RDP).
-
[Arranque seguro]
-
Esta actualización habilita el informe de estado dinámico para los estados de arranque seguro en la aplicación Seguridad de Windows (configuración > actualización &> de seguridad Seguridad de Windows). Obtenga más información sobre las alertas de estado a través de distintivos y notificaciones. Ten en cuenta que estas mejoras están deshabilitadas de manera predeterminada en los dispositivos y servidores comerciales.
-
Esta actualización corrige un problema que podría provocar que un dispositivo entrara en Recuperación de BitLocker después de las actualizaciones de arranque seguro.
-
Con esta actualización, las actualizaciones de calidad de Windows incluyen datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de los dispositivos aptos para recibir automáticamente nuevos certificados de arranque seguro. Los dispositivos reciben los nuevos certificados solo después de demostrar que hay suficientes señales de actualización correctas, manteniendo un lanzamiento controlado y por fases.
-
Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas actualizaciones de este paquete.
Para obtener más información sobre vulnerabilidades de seguridad, consulta el nuevo sitio web de la Guía de actualizaciones de seguridad y la Novedades de seguridad de abril de 2026.
Para obtener información sobre la terminología de las actualizaciones de Windows, consulte el artículo sobre los tipos de actualizaciones de Windows y los tipos de actualizaciones mensuales de calidad. Para obtener información general sobre Windows 10, versión 22H2, consulta su página del historial de actualizaciones.
Nota Siga @WindowsUpdate para saber cuándo se publican nuevos contenidos en el panel de estado de versiones de Windows.
Problemas conocidos en esta actualización
Síntoma
Algunos dispositivos con una configuración de BitLocker directiva de grupo no modificada podrían ser necesarios para introducir su clave de recuperación de BitLocker en el primer reinicio después de instalar esta actualización.
Este problema solo afecta a un número limitado de sistemas en los que se cumplen TODAS las condiciones siguientes. Es poco probable que estas condiciones se encuentren en dispositivos personales no administrados por departamentos de TI.
-
BitLocker está habilitado en la unidad del sistema operativo.
-
Se configura la directiva de grupo "Configurar perfil de validación de plataforma TPM para configuraciones nativas de firmware UEFI" y PCR7 se incluye en el perfil de validación (o la clave del Registro equivalente se establece manualmente).
-
Información del sistema (msinfo32.exe) informa de enlace pcr7 de estado de arranque seguro como "No posible".
-
El certificado de Windows UEFI CA 2023 está presente en la base de datos de firmas de arranque seguro (DB) del dispositivo, lo que hace que el dispositivo sea apto para que el Administrador de arranque de Windows firmado con 2023 sea el predeterminado.
-
El dispositivo aún no está ejecutando el Administrador de arranque de Windows con firma de 2023.
En este escenario, la clave de recuperación de BitLocker solo debe especificarse una vez: los reinicios posteriores no desencadenarán una pantalla de recuperación de BitLocker, siempre y cuando la configuración de la directiva de grupo no cambie. Para obtener ayuda para encontrar la clave de recuperación de BitLocker, consulta el artículo Buscar la clave de recuperación de BitLocker.
Se recomienda a las empresas que auditen sus directivas de grupo de BitLocker para la inclusión explícita de PCR7 y comprueben msinfo32.exe del estado de enlace de su PCR7 antes de instalar esta actualización. (Consulte la opción 1 a continuación).
Solución alternativa
Opción 1: Quitar la configuración de directiva de grupo antes de instalar la actualización (recomendado)
-
Abre directiva de grupo Editor (gpedit.msc) o la Consola de administración de directiva de grupo.
-
Ve a: Plantillas administrativas > configuración del equipo > componentes de Windows > cifrado de unidad BitLocker > unidades del sistema operativo.
-
Establece "Configure TPM platform validation profile for native UEFI firmware configurations" en "Not Configured".
-
Ejecuta el siguiente comando en los dispositivos afectados para propagar el cambio de directiva: gpupdate /force
-
Ejecuta el siguiente comando para suspender BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -disable C:
-
Ejecuta el siguiente comando para reanudar BitLocker (donde BitLocker está habilitado en la unidad C:): manage-bde -protectors -enable C:
-
Esto actualiza los enlaces de BitLocker para usar el perfil de PCR predeterminado seleccionado por Windows.
Opción 2: Aplicar la reversión de problemas conocidos (KIR) antes de instalar la actualización
Una reversión de problemas conocidos (KIR) está disponible para los clientes que no pueden quitar la directiva de grupo PCR7 antes de implementar esta actualización. Kir impide el cambio automático al Administrador de arranque de 2023, evitando así el desencadenador de recuperación de BitLocker. La kir debe implementarse antes de instalar la actualización en los dispositivos afectados. Póngase en contacto con el soporte técnico de Microsoft para empresas para obtener esta KIR.
Pasos siguientes
En una futura actualización de Windows se planea una solución permanente para este problema. Cuando esté disponible, se proporcionará más información.
Actualización de pila de mantenimiento de Windows 10 (KB5084130): versión 19041.7183
Microsoft combina ahora la actualización de pila de mantenimiento (SSU) más reciente para tu sistema operativo con la actualización acumulativa más reciente (LCU). Las SSU mejoran la confiabilidad del proceso de actualización e incluyen correcciones para la pila de mantenimiento, el componente que instala las actualizaciones de Windows.
Nota: Esta actualización de pila de mantenimiento (SSU) incluye lógica mejorada para comprobar si un dispositivo está hospedado en Azure, aprovechando una cadena de certificados actualizada para validación. Para asegurarse de que el dispositivo puede acceder a los dominios de actualización de certificados necesarios para descargar e instalar correctamente las actualizaciones de certificados, consulte Descargas de certificados y listas de revocación y Azure detalles de la entidad emisora de certificados. Para obtener más información sobre las SSU, consulta Actualizaciones de pila de mantenimiento.
Cómo obtener esta actualización
Antes de instalar esta actualización
Importante Debes tener instalada la actualización de pila de mantenimiento (SSU) más reciente Windows 10. Si no instalas la SSU más reciente antes de aplicar las actualizaciones de Windows, es posible que la actualización de Windows no se ofrezca hasta que se instale la SSU más reciente.
En función del escenario de instalación, elija una de las siguientes opciones:
-
Para el mantenimiento de imágenes del sistema operativo sin conexión:
Si tu imagen no tiene el 25 de julio de 2023 (KB5028244) o LCU posterior, debes instalar la SSU especial independiente del 13 de octubre de 2023 (KB5031539) antes de instalar esta actualización.
-
Para la implementación de Windows Server Update Services (WSUS) o al instalar el paquete independiente desde el Catálogo de Microsoft Update:
Si tus dispositivos no tienen la SSU del 11 de mayo de 2021 (KB5003173) o posterior , debes instalar la SSU especial independiente del 10 de agosto de 2021 (KB5005260) antes de instalar esta actualización.
Instalar esta actualización
Para instalar esta actualización, use uno de los siguientes canales de publicación de Windows y Microsoft.
|
Disponible |
Siguiente paso |
|
|
Esta actualización se descargará e instalará automáticamente desde Windows Update. |
|
Disponible |
Siguiente paso |
|
|
Esta actualización se descargará e instalará automáticamente desde Windows Update para empresas de acuerdo con las directivas configuradas. |
|
Disponible |
Siguiente paso |
|
|
Para obtener el paquete independiente para esta actualización, ve al sitio web del Catálogo de Microsoft Update . Para obtener información sobre cómo descargar e instalar actualizaciones desde el Catálogo de actualizaciones, consulta Cómo descargar actualizaciones que incluyen controladores y revisiones desde el Catálogo de Windows Update. |
|
Disponible |
Siguiente paso |
|
|
Esta actualización se sincronizará automáticamente con Windows Server Update Services (WSUS) si configura Productos y clasificaciones de la siguiente manera:
Para configurar el servidor WSUS para que se sincronice en función de los productos y clasificaciones, consulta Sincronización de la actualización por producto y clasificación. Para importar actualizaciones manualmente en WSUS, consulta Importar actualizaciones a WSUS mediante PowerShell. |
Información de archivo
Se proporciona una lista de los archivos incluidos en esta actualización en un archivo CSV (delimitado por comas) (*.csv). El archivo se puede abrir en un editor de texto como el Bloc de notas o en Microsoft Excel.
Nota: La versión en inglés (Estados Unidos) de esta actualización de software puede contener archivos para idiomas adicionales.
Información relacionada
Si quieres quitar esta actualización
PRECAUCIÓN Antes de decidir quitar esta actualización, consulta Comprender los riesgos: por qué no debes desinstalar las actualizaciones de seguridad.
Para quitar la LCU después de instalar el paquete combinado de SSU y LCU, use la opción de línea de comandos DISM/Remove-Package con el nombre del paquete LCU como argumento. Puede encontrar el nombre del paquete usando este comando: DISM /online /get-packages.
Si ejecuta el Instalador Independiente de Windows Update (wusa.exe) con el conmutador /uninstall en el paquete combinado no funcionará porque el paquete combinado contiene la SSU. No se puede quitar la SSU del sistema después de la instalación.
Aviso de actualizaciones de aplicaciones de Microsoft Store
Las actualizaciones de Windows no instalan las actualizaciones de aplicaciones de Microsoft Store. Si eres un usuario de empresa, consulta Aplicaciones de Microsoft Store: Configuration Manager. Si eres usuario consumidor, consulta Obtener actualizaciones de aplicaciones y juegos en Microsoft Store.
Información sobre la finalización del soporte
Fin del soporte de Windows 10, versiones 21H2/22H2 y Windows 10 Enterprise LTSC 2021
Microsoft ya no proporcionará actualizaciones de software gratuitas de Windows Update, asistencia técnica ni correcciones de seguridad en las siguientes fechas de finalización:
♦ Windows 10, versión 21H2: El soporte finalizó el 13 de junio de 2023
♦ Windows 10, versión 22H2: El soporte finalizó el 14 de junio de 2025
♦ Windows 10 Enterprise LTSC 2021: 12 de enero de 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 de enero de 2032
Nota: El programa Actualizaciones de seguridad ampliada de Windows 10 (ESU) finaliza el 13 de octubre de 2026. Te recomendamos que actualices a una versión posterior de Windows.
