Vencimiento del certificado de arranque seguro de Windows y actualizaciones de certificados

Respuesta 1: Por favor, siga los pasos a continuación:

1. En la barra de búsqueda de Windows, escriba Seguridad de Windows.  
   
2. Seleccione [Seguridad del dispositivo] en el menú de la izquierda. Bajo [Secure boot], verá un indicador de estado. El icono de Secure boot está marcado con una insignia verde, amarilla o roja, cada una representa el estado actual de Secure boot en su sistema.  
   

Respuesta 2: Por favor, siga los pasos a continuación:

1. Run Windows Update y asegúrate de que la compilación del sistema operativo sea 26100.6725 o posterior.  
   Historial de actualizaciones de Windows 11, versión 25H2 - Soporte de Microsoft
2. En la barra de búsqueda de Windows, escribe Windows PowerShell.  
   En los resultados de búsqueda, haz clic derecho en Windows PowerShell y selecciona Ejecutar como administrador.  
   
3. Introduce el siguiente comando:  
   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f  
   
4. Luego introduce el siguiente comando:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
5. Reinicia tu ordenador.
6. Después de reiniciar, abre Windows PowerShell nuevamente como administrador.
7. Vuelve a introducir el siguiente comando:  
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"  
   
8. Reinicia tu ordenador una vez más.
9. Verifica que el icono de Secure Boot haya cambiado a verde, lo que indica que Secure Boot ahora está habilitado y funcionando correctamente.

Respuesta 3: Después de que expire el certificado de seguridad de arranque, los dispositivos que aún no hayan recibido el nuevo certificado de 2023 pueden seguir iniciando y operando normalmente, y las actualizaciones estándar de Windows continuarán instalándose. Sin embargo, estos dispositivos no podrán obtener nuevas protecciones de seguridad durante el proceso de arranque temprano, incluido actualizar los administradores de arranque de Windows, las bases de datos de Secure Boot, las listas de revocación o las medidas de mitigación para vulnerabilidades de arranque recientemente descubiertas.

Con el tiempo, esto limita la protección del dispositivo frente a amenazas emergentes y puede afectar escenarios que dependen de la confianza de Secure Boot, como el endurecimiento de BitLocker o los cargadores de arranque de terceros. La mayoría de los dispositivos Windows recibirán automáticamente credenciales actualizadas, y muchos fabricantes OEM también proporcionarán actualizaciones de firmware cuando sea necesario. Mantener el dispositivo actualizado en todo momento ayuda a garantizar que pueda seguir recibiendo la protección de seguridad completa diseñada para un arranque seguro.

Respuesta 4: Los dispositivos que desactivan el secure boot no recibirán nuevas credenciales de secure boot en el firmware. Por lo tanto, seguirán siendo vulnerables a malware en la capa de arranque (como bootkits) ya que la protección de secure boot no se aplica.

Respuesta 5: Si Windows ya ha utilizado el gestor de arranque firmado de 2023, pero el firmware se restablece al valor predeterminado que no incluye el certificado Windows UEFI CA 2023, secure boot bloqueará el proceso de arranque.

Puedes consultar la sección de preguntas frecuentes:

[Notebook] Solución de problemas - Error de violación de Secure Boot al iniciar

Respuesta 6: Sí. Incluso si las credenciales existentes han caducado, todavía se pueden aplicar actualizaciones acumulativas que contienen nuevas credenciales de secure boot. Si el dispositivo puede iniciar Windows e instalar actualizaciones, las credenciales actualizadas pueden escribirse en el firmware según las directrices de implementación publicadas. La mayoría de los dispositivos recibirán estas actualizaciones automáticamente, pero algunos sistemas pueden requerir actualizaciones de firmware adicionales.

Respuesta 7: Por favor, consulta los siguientes pasos:

1. Introduce PowerShell en el cuadro de búsqueda del sistema Windows.  
   En los resultados de búsqueda, haz clic en el icono de Windows PowerShell y selecciona Ejecutar como administrador.  
   
2. Confirma que Key Exchange Key (KEK) incluye "Microsoft Corporation KEK 2K CA 2023"  
   Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
   Si aparece Verdadero, significa que incluye "Microsoft Corporation KEK 2K CA 2023"  
   
3. Confirma que Signature Databases (DB) incluye "Windows UEFI CA 2023"  
   Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
   Si aparece Verdadero, significa que incluye "Windows UEFI CA 2023"  
   
4. Confirma que Signature Databases (DB) incluye "Microsoft UEFI CA 2023"  
   Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
   Si aparece Verdadero, significa que incluye "Microsoft UEFI CA 2023"  
   

Respuesta 8: La razón de este mensaje de error es que las credenciales de arranque seguro han sido actualizadas, pero aún no se han aplicado al firmware del dispositivo.

Por favor, ejecuta Windows Update primero para asegurarte de que la versión del sistema operativo sea 26100.6725 o posterior, y luego procede con los pasos descritos en la Pregunta 2.

Historial de actualizaciones de Windows 11, versión 25H2.

Respuesta 9: La razón de este mensaje de error es que la actualización de arranque está bloqueada deliberadamente porque el dispositivo cumple con condiciones conocidas de firmware o hardware, lo que impide que la actualización se complete de forma segura.

Por favor, informa del problema a través del centro de servicio ASUS.

Respuesta 10: La razón de este mensaje de error es que el dispositivo no puede encontrar la Clave de Intercambio de Claves (KEK) firmada por PK.

Por favor, reporte el problema a través del centro de servicio de ASUS.