Los certificados Secure Boot que protegen el arranque de tu PC desde 2011 empiezan a caducar en junio de 2026. Afecta a todos los equipos con Windows 10 y Windows 11, y Microsoft lleva desde 2023 distribuyendo los nuevos certificados de forma silenciosa mediante Windows Update. El problema es que no todos los equipos los han recibido, y hay una forma muy sencilla de comprobarlo.
Actualización (24 de junio de 2026): el primer certificado caduca hoy y la KB5094126 ya reparte el de 2023
Hoy, 24 de junio de 2026, caduca el Microsoft Corporation KEK CA 2011, el primero de los tres certificados de 2011 que llegan a su fin. Es la llave que autoriza los cambios en las bases de datos de Secure Boot, así que es la pieza con la que Microsoft firmaba las actualizaciones de la lista de revocación (DBX). El Microsoft UEFI CA 2011, que valida gestores de arranque de terceros como el de Linux, cae el 27 de junio, y el Production PCA 2011 que firma el arranque de Windows aguanta hasta el 19 de octubre.
Que caduque hoy el primero no apaga ningún PC. Un equipo que llegue a la fecha sin los certificados de 2023 sigue arrancando y sigue recibiendo actualizaciones normales de Windows, y lo único que pierde son las futuras protecciones del arranque, de forma gradual.
La actualización acumulativa de junio, la KB5094126, cambia el panorama respecto a hace unas semanas. Microsoft ha ampliado de golpe la lista de equipos que reciben el certificado de 2023 de forma automática, así que ahora mismo la mayoría de PC domésticos lo tienen ya aplicado o en camino sin tocar nada.
La nota oficial de Microsoft lo explica así: la actualización incluye datos adicionales de identificación de dispositivos de alta confianza, lo que aumenta la cobertura de equipos aptos para recibir los certificados de forma automática. En la práctica, si tu equipo es de 2020 en adelante y tienes Windows Update al día, lo más probable es que ya estés cubierto. La KB5094126 sube Windows 11 24H2 a la compilación 26100.8655 y la 25H2 a la 26200.8655.
Hay tres efectos de esta actualización que conviene conocer para no asustarse, porque no son fallos:
El semáforo de colores en Seguridad de Windows. Desde la actualización de abril, el apartado Arranque seguro dentro de Seguridad del dispositivo muestra el estado del certificado con un icono de color. Verde significa que el certificado de 2023 está aplicado y no hay nada que hacer. Amarillo significa que Windows está esperando para aplicarlo y basta con dejar Windows Update funcionando. Rojo pide actualizar la BIOS del fabricante. Necesitas la compilación 26100.6725 o posterior, que con la actualización de junio ya tienes de sobra.
Los reinicios múltiples son normales. Si tras instalar la actualización tu PC se reinició dos o tres veces, no está roto. Aplicar el certificado en el firmware requiere prepararlo, aplicarlo y arrancar con el gestor de arranque actualizado, y cada paso necesita su propio reinicio.
La carpeta SecureBoot en C: no se borra. Puede aparecer una carpeta nueva llamada SecureBoot dentro de C:\Windows. No es un virus ni un resto de instalación. Windows la usa para preparar los archivos del certificado antes de grabarlos en el firmware. Déjala donde está.
Tienes el desglose completo de todo lo que activa esta actualización en nuestro análisis de la KB5094126.
Qué es Secure Boot
Secure Boot es el sistema que verifica la firma digital de cada componente que carga durante el arranque del PC: el gestor de arranque de Windows, los drivers de firmware UEFI y las aplicaciones EFI. Si alguno no tiene una firma reconocida, el sistema lo bloquea antes de que llegue a ejecutarse.
Es la primera línea de defensa contra bootkits como BlackLotus, un malware que se instala por debajo del sistema operativo y que con Secure Boot desactivado es prácticamente indetectable desde Windows.
Todo ese sistema depende de certificados criptográficos almacenados en el firmware de la placa base. Son tres, cada uno con su propia fecha de caducidad, y los tres son de 2011:
El Microsoft Corporation KEK CA 2011 y el Microsoft UEFI CA 2011 caducan en junio de 2026. El Microsoft Windows Production PCA 2011, que firma directamente el gestor de arranque de Windows, caduca en octubre de 2026.
Microsoft lleva desde 2023 distribuyendo los certificados de reemplazo mediante Windows Update. Si tu equipo tiene las actualizaciones al día y el firmware de la placa actualizado, es probable que ya los tenga instalados. Probable, no seguro.

Qué pasa si no actualizas los Certificados Secure Boot
Tu PC no va a dejar de arrancar el 1 de julio de 2026. Microsoft lo ha aclarado explícitamente. Lo que ocurre es más gradual: el equipo queda fuera de la cadena de confianza actualizada de Microsoft y deja de recibir futuras actualizaciones de seguridad de Secure Boot.
No podrá validar nuevos gestores de arranque firmados con los certificados de 2023 y perderá la protección contra nuevas variantes de bootkits que Microsoft gestione a través de la base de datos DBX de firmas revocadas.
Es como seguir con una cerradura que funciona pero para la que ya no se fabrican llaves nuevas. El día a día no cambia, pero si en algún momento necesitas recuperar el sistema desde medios externos, los medios de recuperación modernos firmados con los nuevos certificados podrían no arrancar.
Cómo comprobar si tienes el nuevo certificado instalado
Hay dos formas: una visual para confirmar que Secure Boot está activo, y una técnica para verificar que el certificado de 2023 está realmente instalado en el firmware.
Comprobación visual desde Seguridad de Windows
Abre el menú de inicio, escribe Seguridad de Windows y entra en Seguridad del dispositivo. Si el apartado Arranque seguro aparece como activo, Secure Boot está habilitado. Esto confirma que el sistema está activo, pero no que tenga el nuevo certificado instalado.

Comprobación real desde PowerShell:
Abre PowerShell como administrador (botón derecho sobre el icono de inicio y selecciona «Terminal de Windows (administrador)») y ejecuta este comando:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match '2023'Si el resultado es True, el certificado de 2023 está instalado en el firmware y tu PC está listo. Si devuelve False, tienes los certificados de 2011 solamente y necesitas actuar.

Qué hacer si no lo tienes
El proceso tiene dos pasos y los dos son necesarios.
Primero, actualiza el firmware de tu placa base. Microsoft exige que el fabricante haya distribuido una actualización de firmware que prepare el hardware antes de que Windows instale los nuevos certificados.
Sin esa actualización previa, Windows no aplica el cambio aunque lo intente. Entra en la web del fabricante de tu placa (ASUS, MSI, Gigabyte, ASRock) busca tu modelo exacto y descarga la versión de BIOS/UEFI más reciente.

Si tu placa lleva años sin actualizaciones de firmware, puede que no haya soporte para el nuevo certificado.
Segundo: Necesario tenerWindows Update al día. Con el firmware actualizado, los nuevos certificados llegan a través de las actualizaciones acumulativas de Windows. La guía de referencia oficial es el KB5025885. Ve a Configuración – Windows Update – Buscar actualizaciones e instala todo lo pendiente.

Si tienes un caso especial o quieres hacer seguimiento del proceso, Microsoft centraliza todos los recursos en https://aka.ms/GetSecureBoot.
Casos especiales: Secure Boot desactivado, hardware antiguo y dual boot
Si tienes Secure Boot desactivado en la BIOS, el PC no recibirá los nuevos certificados mientras siga así. Da igual el motivo drivers sin firma, dual boot, preferencia personal—: actívalo, deja que Windows complete el proceso y vuelve a tu configuración si lo necesitas.
El caso más complicado es el del hardware antiguo sin soporte de firmware. Sin una actualización del fabricante que prepare la placa para recibir los nuevos certificados, Windows no puede instalar nada en el firmware aunque lo intente. Estos equipos seguirán funcionando, pero quedarán progresivamente fuera de la cadena de confianza actualizada de Microsoft. Si tu placa lleva años sin actualizaciones del fabricante, comprueba su página de soporte antes de asumir que está cubierta.
Si tienes dual boot con Linux, no basta con actualizar Windows. El gestor de arranque de Linux necesita también soporte para los certificados de 2023. Ubuntu, Fedora y Debian han publicado actualizaciones de sus shims de Secure Boot, pero si usas una distribución sin mantenimiento activo, consulta su documentación antes de aplicar el cambio en el lado de Windows.
Preguntas frecuentes
¿Mi PC va a dejar de arrancar en junio de 2026 si no actualizo? No. Microsoft ha aclarado que los PCs seguirán arrancando. Lo que se pierde de forma progresiva es la capacidad de recibir futuras actualizaciones de seguridad de Secure Boot y la protección contra nuevas amenazas a nivel de firmware.
¿Cómo sé si mi PC ya tiene el nuevo certificado instalado? Abre PowerShell como administrador y ejecuta: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match '2023'. Si devuelve True, el certificado de 2023 está en el firmware. Si devuelve False, necesitas actuar.
¿Qué pasa si tengo Secure Boot desactivado? Tu PC no recibirá los nuevos certificados mientras Secure Boot esté desactivado. Actívalo, completa el proceso de actualización y después vuelve a la configuración que necesites.
¿Afecta esto a Windows 10? Sí. Afecta a Windows 10 versión 22H2 y superiores, Windows 11 en todas sus versiones y Windows Server 2022 y posterior.
¿Qué es el KB5025885? Es la guía de referencia oficial de Microsoft para el proceso de transición a los nuevos certificados de Secure Boot. Puedes buscarlo en el Catálogo de Microsoft Update o dejarlo en manos de Windows Update automático.
¿Tengo que hacer algo si mi PC es nuevo? Si lo has comprado en los últimos dos o tres años y tienes Windows Update activo, el proceso probablemente ya ha ocurrido. La comprobación con PowerShell te lo confirma en segundos.
¿Por qué se reinició mi PC varias veces tras la actualización de junio? Es normal. Aplicar el certificado en el firmware requiere varios reinicios para prepararlo, aplicarlo y arrancar con el gestor actualizado. Microsoft lo ha confirmado como comportamiento esperado.
¿Qué es la carpeta SecureBoot que apareció en C:\Windows? Windows la usa para preparar los archivos del certificado antes de grabarlos en el firmware. No es un fallo y no debes borrarla.
¿Tengo que hacer algo si veo el icono verde en Seguridad de Windows? No. El verde confirma que el certificado de 2023 ya está aplicado. No hace falta ningún comando, cambio en la BIOS ni reinicio manual.




