Fecha de publicación original: 15 de septiembre de 2025
KB ID: 5068008
Preguntas más frecuentes generales sobre el arranque seguro
Es mejor actualizar los certificados de arranque seguro antes de la fecha de expiración de junio de 2026.
Si el dispositivo lo administra Microsoft y comparte datos de diagnóstico con Microsoft, Microsoft intentará actualizar automáticamente los certificados de arranque seguro en la mayoría de los casos. Aunque Microsoft hará todo lo posible por actualizar el arranque seguro, habrá algunas situaciones en las que no se garantiza que la actualización se aplique y necesitará la acción del cliente. El cliente es responsable en última instancia de actualizar los certificados de arranque seguro.
Algunos ejemplos de situaciones en las que los dispositivos administrados por Microsoft con datos de diagnóstico compartidos no se actualizan son los siguientes:
-
Las actualizaciones de arranque seguro de Microsoft solo funcionan en algunas versiones con soporte técnico de Windows.
-
Los datos de diagnóstico habilitados en el dispositivo podrían estar bloqueados por un firewall de la organización y no llegar a Microsoft.
-
Es posible que haya un problema con el firmware del dispositivo.
Nota ¿Qué significa ser "Administrado por Microsoft"? El sistema comparte datos de diagnóstico y está administrado por Microsoft Cloud o Intune.
Si el dispositivo no comparte datos de diagnóstico con Microsoft y lo administra el departamento de TI de la organización o el cliente, el departamento de TI puede actualizar los sistemas siguiendo las instrucciones de Microsoft en Expiración del certificado de arranque seguro de Windows y actualizaciones de CA.
Si el equipo lo administra Microsoft, los certificados de arranque seguro se actualizan a través de Windows Update.
Si el equipo lo administra el administrador de TI de su organización o empresa, el departamento de TI tiene métodos para actualizar el sistema mediante las instrucciones de expiración del certificado de arranque seguro de Windows y las actualizaciones de ca.
El equipo seguirá iniciando Windows normalmente, incluso si los certificados de arranque seguro no están actualizados. Finalmente, el equipo dejará de recibir determinadas actualizaciones de seguridad de Windows de Microsoft, incluidas las actualizaciones de seguridad del Administrador de arranque y del componente de arranque seguro. Esto pondrá al dispositivo en riesgo de que BootKits pueda tomar el control total del equipo.
Windows 10 soporte técnico finaliza el 14 de octubre de 2025. Para obtener más información, consulta Windows 10 el soporte técnico finaliza el 14 de octubre de 2025.
Para seguir recibiendo Novedades de seguridad después de esta fecha, los clientes que permanezcan en Windows 10 pueden registrarse para:
-
El Programa de Novedades de seguridad extendida (ESU) Windows 10, consulta Windows 10 Programa de Novedades de seguridad extendida (ESU)
-
O bien, si tienes una versión LTSC compatible de Windows 10, seguirá recibiendo Novedades de seguridad hasta la fecha de expiración de LTSC. Por ejemplo, consulta el programa de Novedades de seguridad extendida (ESU) para obtener Windows 10
Nota
-
Windows 10 Enterprise LTSC está disponible para la compra como SKU independiente o como parte de una suscripción a Windows Enterprise E3.
-
Windows IoT Enterprise LTSC se puede comprar directamente a un OEM o a través de una licencia de proveedor como SKU independiente.
Preguntas más frecuentes sobre el arranque seguro de los sistemas administrados por el cliente o el DEPARTAMENTO de TI
Hay dos rutas posibles:
-
Si el equipo lo administra Microsoft con datos de diagnóstico compartidos y el sistema operativo es compatible, Microsoft intentará actualizar.
-
Si el dispositivo está administrado por el cliente o administrado por un administrador de TI, el departamento de TI puede aplicar las actualizaciones en el conjunto validado de equipos que pueden tomar actualizaciones de forma segura según las instrucciones de Microsoft en Expiración de certificados de arranque seguro de Windows y actualizaciones de CA.
Se espera que estos pasos traten a la mayoría de los clientes sin necesidad de una actualización de firmware de los OEM. Sin embargo, habrá algunos casos en los que las actualizaciones no se apliquen debido a problemas conocidos o desconocidos en el firmware del dispositivo. En estos casos, sigue las instrucciones del OEM sobre las actualizaciones de firmware.
Nota El proceso anterior aplica las variables activas de arranque seguro a través del sistema operativo. Los valores predeterminados del firmware de arranque seguro se mantienen en el firmware que publica el OEM. La orientación es no cambiar ni actualizar la configuración de arranque seguro a menos que el OEM haya publicado una actualización para cambiar los valores predeterminados del firmware a los nuevos certificados.
Si los certificados expiran, la protección de arranque seguro se degrada. Si el sistema cumple los requisitos de un sistema operativo más reciente, como Windows 11, será posible actualizar a una versión de SISTEMA operativo más reciente de Windows 11.
Si el arranque seguro no está habilitado en tu Windows 10 dispositivos LTSC, no se incluyen en la implementación actual de los nuevos certificados de arranque seguro. Cuando inicie la actualización a Windows 11 LTSC, tendrá que seguir pasos de migración específicos relevantes en ese momento para asegurarse de que se incluyen los nuevos certificados de 2023.
Solo las versiones compatibles del sistema operativo Windows obtendrán los certificados.
Una vez que expiren los certificados, el dispositivo seguirá arrancando sin cambios, pero el dispositivo dejará de recibir actualizaciones de seguridad para el administrador de arranque y los componentes de arranque seguro. Esto pondrá a todo el dispositivo en riesgo de malware de "bootkit" que puede afectar a todos los aspectos de seguridad del dispositivo.
Para Windows que se ejecuta en un entorno virtual, hay dos métodos para agregar los nuevos certificados a las variables de firmware de arranque seguro:
-
El creador del entorno virtual (AWS, Azure, Hyper-V, VMware, etc.) puede proporcionar una actualización para el entorno e incluir los nuevos certificados en el firmware virtualizado. Esto funcionaría para nuevos dispositivos virtualizados.
-
Para Windows que se ejecuta a largo plazo en una VM, las actualizaciones se pueden aplicar a través de Windows como cualquier otro dispositivo, si el firmware virtualizado admite actualizaciones de arranque seguro.
Estos entornos administrados por clientes/TI a menudo carecen de datos de diagnóstico suficientes para que Microsoft implemente nuevas características de forma segura y segura. Además, los departamentos de TI suelen preferir mantener el control total sobre el tiempo y el contenido de las actualizaciones para garantizar el cumplimiento, la estabilidad y la compatibilidad con herramientas internas y flujos de trabajo. Muchos dispositivos empresariales también operan en entornos confidenciales o restringidos en los que la administración o el acceso externo, implícitos por CFR, pueden ser indeseables o estar prohibidos.
Si Windows ya usa el administrador de arranque firmado con 2023, pero el firmware se restablece a los valores predeterminados que no incluyen el certificado windows UEFI CA 2023, el arranque seguro bloqueará el proceso de arranque.
Para corregir este error, debe volver a aplicar el certificado 2023 a la DB del firmware mediante la aplicación de recuperación. Para ello, crea un USB de recuperación y, a continuación, arranca el dispositivo afectado desde ese USB para restaurar el certificado que falta.
Para obtener instrucciones detalladas, consulta las instrucciones oficiales de Microsoft para actualizar los medios de instalación de Windows.
