Se aplica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Fecha de publicación original: 26 de junio de 2025

KB ID: 5062710

¿Qué es el arranque seguro?

Arranque seguro es una característica de seguridad del firmware basado en Unified Extensible Firmware Interface (UEFI) que ayuda a garantizar que solo se ejecute software de confianza durante la secuencia de arranque (inicio) de un dispositivo. Funciona verificando la firma digital del software previo al arranque con un conjunto de certificados digitales de confianza (también conocidos como entidad emisora de certificados o CA) almacenados en el firmware del dispositivo. Como estándar del sector, el arranque seguro de UEFI define cómo el firmware de la plataforma administra los certificados, autentica el firmware y cómo interactúa el sistema operativo (SO) con este proceso. Para obtener más información sobre UEFI y el arranque seguro, consulta Arranque seguro.

El arranque seguro se introdujo por primera vez en Windows 8 para protegerse contra la amenaza emergente de malware anterior al arranque (también conocido como bootkit) en ese momento. Como parte de la inicialización de la plataforma, el arranque seguro autentica módulos de firmware antes de la ejecución. Estos módulos incluyen controladores de firmware UEFI (como las ROM de opción), cargadores de arranque y aplicaciones. Como último paso del proceso de arranque seguro, el firmware comprueba si arranque seguro confía en el cargador de arranque. A continuación, el firmware pasa el control al cargador de arranque, que a su vez comprueba, carga en memoria e inicia el sistema operativo Windows.

Arranque seguro define el código de confianza a través de una directiva de firmware establecida durante la fabricación. Los cambios en esta directiva, como agregar o revocar certificados, se controlan mediante una jerarquía de claves. Esta jerarquía comienza con la clave de plataforma (PK), que normalmente es propiedad del fabricante de hardware, seguida de la clave de inscripción de clave (KEK) (también conocida como clave de intercambio de claves), que puede incluir una KEK de Microsoft y otras KEK oem. La Base de datos de firmas permitidas (DB) y la Base de datos de firmas no permitidas (DBX) determinan qué código se puede ejecutar en el entorno UEFI antes de que se inicie el sistema operativo. La DB incluye certificados administrados por Microsoft y el OEM, mientras que la DBX la actualiza Microsoft con las revocaciones más recientes. Cualquier entidad con KEK puede actualizar la DB y DBX.

Los certificados de arranque seguro de Windows expiran en 2026

Desde que Windows introdujo la compatibilidad con arranque seguro, todos los dispositivos basados en Windows han llevado el mismo conjunto de certificados de Microsoft en la KEK y la DB. Estos certificados originales se aproximan a su fecha de expiración y el dispositivo se ve afectado si tiene alguna de las versiones de certificado enumeradas. Para seguir ejecutando Windows y recibir actualizaciones periódicas para la configuración de arranque seguro, deberás actualizar estos certificados.

Terminología

  • KEK: Clave de inscripción

  • CA: Entidad emisora de certificados

  • DB: Base de datos de firmas de arranque seguro

  • DBX: Base de datos de firmas revocadas de arranque seguro

Certificado que expira

Fecha de expiración

Nuevo certificado

Almacenamiento de la ubicación

Finalidad

Microsoft Corporation KEK CA 2011

Junio de 2026

Microsoft Corporation KEK CA 2023

Almacenado en la KEK

Firma actualizaciones para DB y DBX.

Microsoft Windows Production PCA 2011

Octubre de 2026

Windows UEFI CA 2023

Almacenado en DB

Se usa para firmar el cargador de arranque de Windows.

Microsoft UEFI CA 2011*

Junio de 2026

Microsoft UEFI CA 2023

Almacenado en DB

Firma cargadores de arranque de terceros y aplicaciones EFI.

Microsoft UEFI CA 2011*

Junio de 2026

Microsoft Option ROM CA 2023

Almacenado en DB

Firma las ROM de opción de terceros

*Durante la renovación del certificado Microsoft Corporation UEFI CA 2011, dos certificados separan la firma del cargador de arranque de la firma de rom de opción. Esto permite un control más preciso sobre la confianza del sistema. Por ejemplo, los sistemas que necesitan confiar en las ROM de opción pueden agregar la ROM de opción de Microsoft UEFI CA 2023 sin agregar confianza para los cargadores de arranque de terceros.

Microsoft ha emitido certificados actualizados para garantizar la continuidad de la protección de arranque seguro en dispositivos Windows. Microsoft administrará el proceso de actualización de estos nuevos certificados en una parte importante de los dispositivos Windows. Además, ofreceremos instrucciones detalladas para las organizaciones que administran sus propias actualizaciones de dispositivos.

Importante Cuando expiran las CA de 2011, los dispositivos Windows que no tienen nuevos certificados 2023 ya no pueden recibir correcciones de seguridad para los componentes de arranque previo que comprometen la seguridad de arranque de Windows.

Llamada a la acción

Es posible que tenga que tomar medidas para asegurarse de que su dispositivo Windows permanece seguro cuando los certificados expiran en 2026. Tanto la DB de arranque seguro UEFI como la KEK deben actualizarse con las nuevas versiones de certificado 2023 correspondientes. Para obtener más información sobre los nuevos certificados, consulta Guía de creación y administración de claves de Arranque seguro de Windows

Importante Sin actualizaciones, los dispositivos Windows habilitados para arranque seguro corren el riesgo de no recibir actualizaciones de seguridad ni de confiar en los nuevos cargadores de arranque, lo que comprometerá tanto la capacidad de servicio como la seguridad.

Tus acciones variarán en función del tipo de dispositivo Windows que tengas. Selecciona en el menú de la izquierda el tipo de dispositivo y la acción específica que debes realizar.  

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad