Security

Windows Secure Boot 2026: actualización clave para TI

3 min de lectura

Resumen

Microsoft está renovando los certificados de Secure Boot de Windows porque los originales de 2011 empezarán a vencer a finales de junio de 2026, y distribuirá los nuevos mediante Windows Update en coordinación con fabricantes OEM y proveedores UEFI. Esto importa a los equipos de TI porque, aunque los dispositivos podrían seguir arrancando sin la actualización, perderían la capacidad de adoptar futuras protecciones de seguridad a nivel de arranque, por lo que conviene planificar su despliegue y validación con antelación.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Secure Boot es una de las protecciones más importantes de Windows en el arranque, ya que garantiza que solo se ejecuten componentes confiables y firmados digitalmente antes de que se cargue el SO. Esa confianza se sustenta en certificados almacenados en el firmware UEFI, y Microsoft ha confirmado que los certificados originales de Secure Boot introducidos en 2011 están llegando al fin de su ciclo de vida y comienzan a vencer a finales de junio de 2026. Para los equipos de TI, se trata de un evento de mantenimiento de seguridad con plazo fijo y de alcance en todo el ecosistema: si los dispositivos no reciben la actualización de certificados, pueden seguir arrancando, pero perderán la capacidad de adoptar futuras protecciones a nivel de arranque.

Qué hay de nuevo

Se está actualizando la “raíz de confianza” de Secure Boot

  • Los certificados de Secure Boot de larga duración vencen a partir de finales de junio de 2026.
  • Se están implementando nuevos certificados en los dispositivos Windows con soporte mediante la cadencia mensual normal de Windows update.
  • Este es un esfuerzo coordinado entre el servicio de Windows, el firmware del OEM y los proveedores de UEFI para minimizar riesgos e interrupciones.

Amplia preparación de los OEM (especialmente en dispositivos más nuevos)

  • Muchas PC fabricadas desde 2024 —y casi todos los dispositivos enviados en 2025— ya incluyen los certificados actualizados.
  • Para un subconjunto más pequeño de dispositivos en el mercado, aplicar los nuevos certificados puede requerir primero una actualización de firmware del OEM.

Mejor visibilidad e implementación por fases

  • Microsoft está implementando el cambio con un enfoque cuidadoso y por etapas, basado en pruebas y en la preparación respaldada por telemetría.
  • En los próximos meses se esperan mensajes de estado sobre las actualizaciones de certificados en la app Windows Security para ayudar a los usuarios a seguir el progreso.

Impacto para administradores de TI y usuarios finales

Si los dispositivos no obtienen los nuevos certificados a tiempo

  • Es probable que los dispositivos sigan funcionando y que el software existente continúe ejecutándose.
  • Sin embargo, entran en un estado de seguridad degradado y pueden no poder recibir futuras mitigaciones a nivel de arranque (por ejemplo, cuando se descubren nuevas vulnerabilidades de arranque).
  • Con el tiempo, aumentan los riesgos de compatibilidad: es posible que no se carguen versiones más nuevas de SO/firmware/hardware o software dependiente de Secure Boot.

Las versiones de Windows sin soporte son un riesgo clave

  • Los dispositivos con versiones sin soporte (en particular Windows 10 después de que finalice el soporte el 14 de octubre de 2025, a menos que estén inscritos en ESU) no recibirán las actualizaciones a través de Windows Update.
  • Esos endpoints deben tratarse como elementos de corrección prioritarios (actualizar/reemplazar o garantizar la elegibilidad para ESU y la estrategia de actualización).

Acciones recomendadas / próximos pasos

  1. Inventario y alcance
    • Identifique todos los endpoints de Windows y Windows Server dentro del alcance, incluidos quioscos, servidores especializados y dispositivos IoT/edge que pueden tener un servicio atípico.
  2. Validar la ruta de servicio
    • Confirme que los dispositivos estén recibiendo las últimas actualizaciones acumulativas mensuales (administradas por Microsoft cuando corresponda).
    • Asegúrese de que los requisitos de diagnóstico/telemetría utilizados para la validación de preparación se alineen con las políticas de su organización.
  3. Comprobación de preparación del firmware
    • Revise de forma proactiva los avisos y páginas de soporte de los OEM (Dell/HP/Lenovo y otros) y programe las actualizaciones de UEFI/firmware necesarias.
    • Realice un piloto de actualizaciones de firmware en modelos de hardware representativos antes de una implementación amplia.
  4. Planificar excepciones
    • Para dispositivos que no se validen con confianza mediante el enfoque por etapas de Microsoft, utilice la guía del playbook para administradores de TI de Microsoft y sus herramientas existentes (Intune, Configuration Manager o de terceros) para implementar y supervisar.
  5. Preparar runbooks de soporte
    • Pasos de primera línea: aplicar las últimas actualizaciones de Windows, verificar el firmware más reciente del OEM y luego escalar a los canales de soporte de Microsoft/OEM si los problemas persisten.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.