Vencimiento del certificado de Secure Boot de Windows y actualizaciones de certificados
Desde que Windows comenzó a admitir Secure Boot, la mayoría de los dispositivos Windows han utilizado una serie de certificados de Microsoft en la base de datos UEFI Secure Boot. Estos certificados anteriores comenzarán a expirar gradualmente a partir de 2026. Para mantener la seguridad de arranque y la integridad de la cadena de confianza, los sistemas deben actualizarse a la versión 2023 de los certificados de Microsoft.
Si su sistema actualmente tiene Secure Boot activado, asegúrese de que estos certificados se actualicen antes de que expiren a mediados de 2026.
¿Qué necesita hacer?
Solo necesita completar uno de los siguientes métodos de actualización y esperar al nuevo Windows Boot Manager:
(Método I) A través de Windows Actualización Automática
Cuando 「Windows Update」 está activado y el sistema tiene Secure Boot activado (consulte cómo activar Secure Boot), los dispositivos Windows compatibles descargarán y aplicarán automáticamente los nuevos certificados Secure Boot y el nuevo Boot Manager en el momento adecuado.
La nueva actualización de la base de datos Secure Boot se ha implementado por fases en los dispositivos con Secure Boot activado desde 2024 y completará automáticamente la actualización del dispositivo antes de que el certificado expire en junio de 2026.
Los usuarios con la configuración predeterminada normalmente no necesitan realizar operaciones manuales adicionales.
[Habilitar Windows Update para obtener nuevos certificados] 
(Método II) Actualizar manualmente UEFI BIOS
Aviso: Después de actualizar el BIOS, es posible que se le solicite ingresar la clave de recuperación de BitLocker para desbloquear y acceder al sistema operativo. Para consultar los pasos detallados, consulte este artículo: Cómo encontrar la clave de BitLocker.
También puede desactivar el cifrado de dispositivo y el cifrado estándar de BitLocker antes de actualizar el BIOS, y luego volver a activar el cifrado después de la actualización para proteger la seguridad de sus datos. Para pasos detallados, consulte este artículo: Introducción al cifrado de dispositivo y al cifrado estándar de BitLocker.
Para placa base
También puede descargar y actualizar a la última versión de UEFI BIOS desde el sitio web oficial de ASUS para obtener los certificados de Secure Boot actualizados.
Este método es más adecuado para usuarios avanzados familiarizados con el proceso de actualización del BIOS o sistemas que no pueden recibir actualizaciones normalmente a través de Windows Update.
1. Para descargar y actualizar a la última versión del BIOS UEFI desde el sitio web oficial de ASUS, puedes consultar: Cómo actualizar el BIOS
2. Borrar llaves de Secure Boot
2.1 Después de actualizar el BIOS y reiniciar el sistema, vuelve a entrar en la configuración del BIOS, ve a Avanzado\Arranque > Secure Boot.
Si el Modo de Secure Boot es Estándar, cámbialo a Personalizado.
2.2 Haz clic en Administración de llaves.
2.3 Ejecuta "Borrar llaves de Secure Boot".
Haz clic en [Sí].
2.4 Confirma que todas las llaves de Secure Boot UEFI (PK, KEK, DB, DBX) se han borrado correctamente.
3. Instalar llaves predeterminadas de Secure Boot
3.1 Después de borrar las llaves de Secure Boot, ejecuta "Instalar llaves predeterminadas de Secure Boot." 
Haz clic en [Sí].
3.2 Comprueba que el Tamaño/Número de llaves para PK/KEK/DB/DBX no sea 0 y que la fuente de las llaves sea [Predeterminado]. El proceso de actualización de las llaves UEFI Secure Boot está completo.
P&R
Pregunta 1: ¿Cómo verificar el estado de las llaves UEFI Secure Boot?
Respuesta: Por favor, sigue estos pasos:
1. En la página de BIOS, ve a Avanzado\Arranque > Secure Boot > Administración de llaves.
2. Selecciona los siguientes elementos respectivamente y luego selecciona "Eliminar llaves":
➢ Administración de KEK
➢ Administración de DB
3. Selecciona "No" en la ventana emergente. (Nota: Esta operación es solo para mostrar la información de la clave; si seleccionas "Sí", eliminarás la clave.)
4. Confirma que la Gestión de KEK contenga "Microsoft Corporation KEK 2K CA 2023".
5. Confirma que la Gestión de DB contenga tanto "Microsoft UEFI CA 2023" como "Windows UEFI CA 2023".
Para portátil
También puedes descargar y actualizar el UEFI BIOS a la última versión desde el sitio web oficial de ASUS para obtener los certificados actualizados de Secure Boot.
Este método es más adecuado para usuarios avanzados que están familiarizados con el proceso de actualización de UEFI BIOS.
1. Descarga y actualiza el UEFI BIOS a la última versión desde el sitio web oficial de ASUS. Puedes consultar: Cómo actualizar BIOS en Windows.
2. Restablecer al modo de configuración
2.1 Después de actualizar la BIOS, reinicie el sistema y vuelva a entrar en la configuración de BIOS. Vaya a Avanzado\Arranque > Arranque Seguro.
2.2 Haga clic en Gestión de claves.
2.3 Realice "Restablecer al modo de configuración".
2.4 Haga clic en [Sí].
2.5 Confirme que todas las claves de Arranque Seguro UEFI (PK, KEK, DB, DBX) han sido borradas correctamente.
3. Restaurar claves de fábrica
3.1 Realice "Restaurar claves de fábrica".
3.2 Haga clic en [Sí].
3.3 Verifica que el Tamaño/Número de Claves para PK/KEK/DB/DBX no sea cero.
El proceso de actualización de las Claves UEFI Secure Boot ahora está completo.
Preguntas y Respuestas
Pregunta 1: ¿Cómo reviso el estado de las Claves UEFI Secure Boot?
Respuesta: Por favor sigue estos pasos:
1. En la página de BIOS, ve a Avanzado\Arranque > Secure Boot > Gestión de claves.
2. Selecciona cada uno de los siguientes elementos y luego haz clic en “Detalles”:
➢ Claves de Intercambio (KEK)
➢ Firmas Autorizadas (db)
3. Confirma que las Claves de Intercambio de Claves (KEK) incluyan "Microsoft Corporation KEK 2K CA 2023".
4. Confirma que las Firmas Autorizadas (db) incluyan tanto "Microsoft UEFI CA 2023" como "Windows UEFI CA 2023".
Para AIOT
Los usuarios pueden descargar y actualizar a la última versión del UEFI BIOS desde el sitio web oficial de ASUS para obtener los certificados de Secure Boot actualizados. Este método es más adecuado para usuarios avanzados que están familiarizados con el proceso de actualización del BIOS, o para sistemas que no pueden recibir actualizaciones correctamente a través de Windows Update.
Descarga y actualiza a la última versión del UEFI BIOS desde el sitio web oficial de ASUS AIoT. Para instrucciones, puedes consultar:
1. Descarga y actualiza a la última versión del UEFI BIOS desde el sitio web oficial de ASUS AIoT. Para instrucciones, puedes consultar: Cómo actualizar el BIOS
2. Instala las claves predeterminadas de Secure Boot:
2.1 Después de actualizar el BIOS, reinicia el sistema. Vuelve a entrar a la utilidad de configuración del BIOS y navega a Seguridad > Secure Boot.
2.2 Si el Modo de Secure Boot está configurado en Personalizado, por favor cámbialo a Estándar.
2.3 Haz clic en Aceptar (para aplicar "Instalar valores predeterminados de fábrica en la Gestión de Claves")
2.4 Haz clic en Gestión Experta de Claves.
2.5 Verifique que el Tamaño/Número de Claves para PK, KEK, DB y DBX no sea cero.
Preguntas y Respuestas
Pregunta 1: ¿Cómo puedo comprobar el estado de las Secure Boot Keys de UEFI para confirmar que los certificados de Microsoft 2023 han sido instalados?
Respuesta: Por favor, sigue los siguientes pasos:
1. Si el Modo de Secure Boot está configurado en Estándar, cámbialo a Personalizado. 
2. Haz clic en OK.
3. Haz clic en Expert Key Management.
4. Selecciona Key Exchange Key (KEK) > Detalles.
5. Verifica que la gestión de KEK incluya "Microsoft Corporation KEK 2K CA 2023".
6. Selecciona Authorized Signatures (db) > Detalles.
7. Verifica que la gestión de DB contenga todo lo siguiente: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023" y "Microsoft Option ROM UEFI CA 2023".