Vencimiento del certificado de Secure Boot de Windows y actualizaciones de certificados
Desde que Windows comenzó a soportar Secure Boot, la mayoría de los dispositivos Windows han utilizado una serie de certificados de Microsoft en la base de datos de UEFI Secure Boot. Estos certificados anteriores comenzarán a expirar gradualmente a partir de 2026. Para mantener la seguridad de arranque y la integridad de la cadena de confianza, los sistemas deben actualizarse a la versión 2023 de los certificados de Microsoft.
Si tu sistema actualmente tiene Secure Boot activado, por favor asegúrate de que estos certificados estén actualizados antes de que expiren a mediados de 2026.
Para la mayoría de los usuarios, las actualizaciones necesarias se entregarán automáticamente por medio de Windows Update sin que se requiera acción del usuario.
Se puede verificar si las actualizaciones se recibieron correctamente a través de la aplicación Seguridad de Windows, como se describe en Estado de actualización del certificado de Secure Boot en la aplicación Seguridad de Windows.
Cuando「Windows Update」está activado y el sistema tiene Secure Boot activado (por favor consulta cómo habilitar Secure Boot), los dispositivos Windows compatibles descargarán y aplicarán automáticamente los nuevos certificados de Secure Boot y el nuevo Boot Manager en el momento adecuado.
La nueva actualización de la base de datos de Secure Boot se ha implementado en fases para los dispositivos con Secure Boot activado desde 2024 y completará automáticamente la actualización del dispositivo antes de que el certificado expire en junio de 2026.
[Habilitar Windows Update para obtener nuevos certificados]

Pregunta 1: ¿Cómo puedo comprobar el estado de UEFI Secure Boot?
Respuesta 1: Por favor, siga los pasos a continuación:
- En la barra de búsqueda de Windows, escriba Seguridad de Windows.

- Seleccione [Seguridad del dispositivo] en el menú de la izquierda. En [Secure boot], verá un indicador de estado. El icono de Secure boot está marcado con una insignia verde, amarilla o roja, cada una representa el estado actual de Secure boot en su sistema.

Pregunta 2: ¿Qué debo hacer si el icono de Secure boot está en amarillo o rojo?
Respuesta 2: Por favor, consulte los pasos de resolución detallados en el artículo: Solución de problemas - El icono de Secure Boot muestra una insignia amarilla o roja.
Pregunta 3: ¿Qué sucede si mi dispositivo no obtiene un nuevo certificado de Secure Boot antes de que caduque el certificado anterior?
Respuesta 3: Después de que caduque el certificado de Secure Boot, los dispositivos que aún no hayan recibido el nuevo certificado 2023 podrán seguir iniciando y funcionando normalmente, y las actualizaciones estándar de Windows continuarán instalándose. Sin embargo, estos dispositivos no podrán obtener nuevas protecciones de seguridad durante el proceso de arranque temprano, incluyendo la actualización de los administradores de arranque de Windows, bases de datos de Secure Boot, listas de revocación o medidas de mitigación para vulnerabilidades recién descubiertas a nivel de arranque.
Con el tiempo, esto limita la protección del dispositivo frente a amenazas emergentes y puede afectar los escenarios que dependen de la confianza de Secure Boot, como el refuerzo de BitLocker o los cargadores de arranque de terceros. La mayoría de los dispositivos Windows recibirán automáticamente las credenciales actualizadas y muchos fabricantes OEM también proporcionarán actualizaciones de firmware cuando sea necesario. Mantener el dispositivo actualizado en todo momento ayuda a garantizar que pueda seguir recibiendo la protección de seguridad completa diseñada para un arranque seguro.
Pregunta 4: ¿Cuáles son los efectos de desactivar el dispositivo de Secure Boot?
Respuesta 4: Los dispositivos que desactivan Secure Boot no recibirán nuevas credenciales de Secure Boot en el firmware. Por lo tanto, seguirán siendo vulnerables a malware a nivel de arranque (como bootkits), ya que la protección de Secure Boot no se aplica.
Pregunta 5: Después de restablecer el firmware a la configuración predeterminada, el dispositivo dejó de arrancar - ¿qué sucedió? ¿Cómo debo solucionarlo?
Respuesta 5: Si Windows ya ha utilizado el gestor de arranque firmado de 2023, pero el firmware se restablece al valor predeterminado que no incluye el certificado Windows UEFI CA 2023, el arranque seguro bloqueará el proceso de arranque.
Puedes consultar la FAQ:
[Portátil] Solución de problemas - Error de violación de Secure Boot al iniciar
Pregunta 6: Si el certificado Secure Boot de mi dispositivo ha caducado, ¿aún puedo recibir un certificado actualizado?
Respuesta 6: Sí. Incluso si las credenciales existentes han caducado, aún se pueden aplicar actualizaciones acumulativas que contienen nuevas credenciales de arranque seguro. Si el dispositivo puede iniciar Windows e instalar actualizaciones, las credenciales actualizadas pueden escribirse en el firmware según las directrices de despliegue publicadas. La mayoría de los dispositivos recibirán estas actualizaciones automáticamente, pero algunos sistemas pueden requerir actualizaciones de firmware adicionales.
Pregunta 7: ¿Cómo comprobar el estado de las claves UEFI Secure Boot?
Respuesta 7: Por favor, consulta los siguientes pasos:
- Introduce PowerShell en el cuadro de búsqueda del sistema Windows.
En los resultados de búsqueda, haz clic en el icono de Windows PowerShell y selecciona Ejecutar como administrador.
- Confirma que Key Exchange Key (KEK) incluya "Microsoft Corporation KEK 2K CA 2023"
Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Si aparece True, significa que incluye "Microsoft Corporation KEK 2K CA 2023"
- Confirma que Signature Databases (DB) incluya "Windows UEFI CA 2023"
Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Si aparece True, significa que incluye "Windows UEFI CA 2023"
- Confirma que Signature Databases (DB) incluya "Microsoft UEFI CA 2023"
Introduce [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Si aparece True, significa que incluye "Microsoft UEFI CA 2023"
Pregunta 8: ¿Qué debo hacer si encuentro un mensaje de error TPM WMI (ID de evento: 1801) en el Visor de eventos?
Respuesta 8: El motivo de este mensaje de error es que las credenciales de arranque seguro se han actualizado, pero aún no se han aplicado al firmware del dispositivo.
Por favor, ejecute Windows Update primero para asegurarse de que la versión del sistema operativo sea 26100.6725 o posterior, y luego continúe con los pasos indicados en la Pregunta 2.
Historial de actualizaciones de Windows 11, versión 25H2.
Pregunta 9: ¿Qué debo hacer si encuentro un mensaje de error TPM WMI (ID de evento: 1802) en el Visor de eventos?
Respuesta 9: El motivo de este mensaje de error es que la actualización de arranque está bloqueada deliberadamente porque el dispositivo cumple con condiciones conocidas de firmware o hardware, lo que impide que la actualización se complete de forma segura.
Por favor, informe del problema a través del centro de servicio ASUS.
Pregunta 10: ¿Qué debo hacer si encuentro un mensaje de error TPM WMI (ID de evento: 1803) en el Visor de eventos?
Respuesta 10: El motivo de este mensaje de error es que el dispositivo no puede encontrar la Clave de Intercambio de Claves (KEK) firmada por PK.
Por favor, informe del problema a través del centro de servicio ASUS.
Referencia:
Vencimiento del certificado de Windows Secure Boot y actualizaciones de CA - Soporte de Microsoft
Estado de la actualización del certificado Secure Boot en la aplicación de seguridad de Windows
Preguntas frecuentes sobre el proceso de actualización de Secure Boot - Soporte de Microsoft
Eventos de actualización de variables DB y DBX de Secure Boot - Soporte de Microsoft
Historial de actualizaciones de Windows 11, versión 25H2 - Soporte de Microsoft