[PC comercial] Anuncio sobre la actualización del certificado de arranque seguro de Windows

2.1 No afectado (Nuevo certificado compatible por defecto)

Todos los PCs empresariales enviados en 2024 o después, así como todos los modelos nuevos futuros, tienen el nuevo certificado Secure Boot preintegrado. No se requiere actualización manual.

Portátiles (NB): Los siguientes modelos, así como todas las series lanzadas después de 2024.

Escritorios: Los siguientes modelos, así como todas las series lanzadas después de 2024.

Todo en uno (AIO): Los siguientes modelos, así como todas las series lanzadas después de 2024.

2.2 Modelos que requieren una actualización

Si tu modelo no está en la lista anterior, significa que el dispositivo está usando actualmente el certificado anterior y necesitará ser actualizado.

¿Cómo obtengo la actualización?

Para los modelos afectados, ASUS ha completado la presentación del nuevo certificado. La actualización será entregada automáticamente por Microsoft a través de Windows Update.

Acción recomendada: Ve a Configuración > Windows Update y asegúrate de que las actualizaciones automáticas estén habilitadas.

Instalación automática: El sistema descargará e instalará automáticamente el certificado de seguridad más reciente—no se requieren herramientas ni descargas manuales.

Esta sección explica los certificados de arranque seguro de terceros de Microsoft. Si tu dispositivo necesita ejecutar entornos que no sean Windows (por ejemplo, Linux) o hardware de terceros (por ejemplo, GPUs externas), por favor, revisa lo siguiente.

3.1 Descripción general del certificado de terceros de Microsoft

3.2 Si se requieren certificados de terceros de Microsoft, por favor consulte las siguientes instrucciones

Nota: Si su ordenador comercial tiene Windows BitLocker habilitado, por favor suspéndalo previamente siguiendo las instrucciones a continuación antes de realizar cualquier operación de Secure Boot.

Los dispositivos enviados en 2026 ya incluyen estos certificados. Puede ingresar a la configuración de BIOS (presione F2 durante el inicio) para verificar o configurar las opciones de certificados de terceros.

Además, puede consultar la Sección 8.3 para verificar si los certificados de terceros están presentes. Si no están incluidos, actualice el BIOS a la versión más reciente y siga la Sección 5. SOP 1: Actualizar certificados de Secure Boot.

Si los certificados de terceros requeridos aún no aparecen, proceda a la Sección 6. SOP 2: Agregar certificados de Secure Boot.

En caso de que al restablecer las claves de Secure Boot aparezca la siguiente pantalla al arrancar en Windows, siga la Sección 7. SOP 3: Restaurar certificados de Secure Boot.

Referencias

1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

Notas Pre-Operativas:

1. Se recomienda encarecidamente hacer una copia de seguridad de todos los datos en su ordenador con anticipación para evitar cualquier posible pérdida de datos durante el proceso de actualización manual.
2. Si BitLocker está activado, por favor asegúrese de suspenderlo antes de continuar con los siguientes pasos. Una vez que el proceso se haya completado, BitLocker puede ser reactivado.
3. No suspender BitLocker puede resultar en un escenario de bloqueo. En casos donde BitLocker no pueda desbloquear automáticamente la unidad cifrada de Windows, se requerirá una clave de recuperación. Esta clave es un código numérico de 48 dígitos que le permite recuperar el acceso a su disco duro. Si no está familiarizado con los procedimientos descritos a continuación, por favor contáctenos para obtener asistencia.

Si necesita recuperar su clave de recuperación de BitLocker, por favor consulte el artículo: Cómo recuperar su clave de recuperación de BitLocker.

Pasos del procedimiento

1. Encienda o reinicie el sistema, luego presione F2 para entrar en la configuración de la BIOS.    
   Presione F7 para cambiar al Modo Avanzado, luego navegue a Seguridad > Arranque seguro (o directamente Seguridad > Arranque seguro).    
   
2. Seleccione Gestión de claves.    
   
3. Seleccione Firmas autorizadas (db).    
   
4. Elija Actualizar.    
   
5. Seleccione Sí.    
      
   Nota: Seleccionar “Sí” restaurará los certificados correspondientes a su configuración predeterminada de fábrica. Cualquier certificado previamente agregado por el sistema o el usuario será eliminado.
6. Seleccione Detalles para verificar que los certificados de Firmas autorizadas (db) se han actualizado correctamente.    
   
7. Presione F10 para Guardar y Salir.
8. Si BitLocker se suspendió previamente, asegúrese de volver a habilitarlo.

1. Descargue Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776, y guárdelo en el directorio raíz de una unidad USB (por ejemplo, “D:\windows uefi ca 2023.crt”).
2. Encienda o reinicie el sistema, luego presione F2 para entrar en la configuración de la BIOS.    
   Presione F7 para cambiar al Modo Avanzado, luego navegue a Seguridad > Arranque Seguro (o directamente Seguridad > Arranque Seguro).    
   
3. Seleccione Gestión de Claves.    
   
4. Seleccione Firmas Autorizadas (db).    
   
5. Elija Añadir.    
   
6. Seleccione No.    
   
7. Seleccione la unidad USB.
8. Ubique y seleccione el archivo almacenado en el directorio raíz: “windows uefi ca 2023.crt”.
9. Seleccione Certificado de Clave Pública, luego presione Enter en la pantalla de confirmación del GUID.    
   
10. Seleccione Sí.    
    
11. Verifica que Windows UEFI CA 2023 esté ahora listado bajo Firmas Autorizadas (db).    
    
12. Presiona F10 para Guardar y Salir.
13. Si BitLocker está habilitado, asegúrate de tener tu clave de recuperación de BitLocker disponible.

¿Cómo verificar el estado de la clave de arranque seguro UEFI? Los siguientes procedimientos no afectan el estado de Windows BitLocker.

8.1 Pasos preliminares

Ingresa PowerShell en la barra de búsqueda de Windows.

Desde los resultados de búsqueda, haz clic derecho en Windows PowerShell y selecciona Ejecutar como administrador.

8.2 Verificando los Certificados de Arranque Seguro de Microsoft Windows

1. Confirma que la Key Exchange Key (KEK) incluya “Microsoft Corporation KEK 2K CA 2023”.   
   Ejecutar: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'   
   Un resultado de Verdadero indica que el certificado "Microsoft Corporation KEK 2K CA 2023" está presente.   
   
2. Confirme que las Bases de Datos de Firmas (DB) incluyen "Windows UEFI CA 2023".   
   Ejecutar: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'   
   Un resultado de Verdadero indica que el certificado "Windows UEFI CA 2023" está presente.   
   

8.3 Verificación de los Certificados Secure Boot de Microsoft de Terceros

1. Confirme que las Bases de Datos de Firmas (DB) incluyen "Microsoft UEFI CA 2023".   
   Ejecutar: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'   
   Un resultado de Verdadero indica que el certificado "Microsoft UEFI CA 2023" está presente.   
   
2. Confirme que las Bases de Datos de Firmas (DB) incluyen "Microsoft Option ROM UEFI CA 2023".   
   Ejecute: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'   
   Un resultado de True indica que el certificado "Microsoft Option ROM UEFI CA 2023" está presente.