Certificados Secure Boot (Microsoft) que vencen en junio de 2026

Índice de contenidos

Guía práctica por casos (PCs, servidores y máquinas virtuales)

En junio de 2026 expiran certificados “históricos” de Secure Boot. En entornos empresariales no suele traducirse en un corte inmediato, pero sí puede dejar equipos en un estado de seguridad degradado y complicar la compatibilidad con futuros componentes firmados si no se actualiza la cadena de confianza.

En esta guía tienes un enfoque divulgativo y accionable, separado por casos (PCs, servidores físicos y VMs), con un plan de inventario, piloto, despliegue y verificación. Incluye también un workaround operativo para laboratorio/piloto y una sección de preguntas frecuentes al final.

Si quieres ayuda para ejecutar un plan controlado y sin sustos, puedes apoyarte en nuestro servicio de mantenimiento informático para empresas y en la ciberseguridad para PYMES como base para gobernar cambios de firmware, hardening y continuidad operativa.

Resumen en 5 pasos

Si necesitas una lectura rápida para convertir esto en un plan interno, aquí tienes el flujo recomendado. Está pensado para minimizar riesgo operativo y evitar actuar “a ciegas” en producción.

Inventario: clasifica por PC / servidor / VM y por BIOS/Legacy vs UEFI + Secure Boot.
Piloto: prueba en un grupo representativo (PCs, 1 servidor por familia y 1–2 VMs por tipología).
Correcciones previas: firmware/BIOS/UEFI al día, gestión de BitLocker, compatibilidad del hipervisor en VMs.
Despliegue por oleadas: de menor a mayor criticidad, con ventanas si aplica.
Validación: eventos, reinicio correcto y verificación de servicios (especialmente en servidores y VMs críticas).

Qué cambia en 2026 y por qué es relevante en empresa

Secure Boot forma parte del arranque UEFI y valida que lo que se ejecuta al inicio (bootloader y componentes relacionados) está firmado por entidades de confianza. El vencimiento de certificados en 2026 obliga a alinear dispositivos y plataformas con los certificados más recientes para mantener la integridad del arranque a futuro.

En empresas, el riesgo típico no es “dejó de arrancar”, sino un estado de seguridad degradado y una mayor probabilidad de incidencias cuando se aplican actualizaciones futuras, hardening, cambios de plataforma o despliegues masivos.

Fuente recomendada (oficial): Windows Secure Boot certificate expiration and CA updates (Microsoft)

Caso 0: No aplica (BIOS/Legacy)

Este caso sirve para descartar rápido y no invertir tiempo donde no toca. Si un equipo no usa UEFI, Secure Boot no está activo y este cambio no aplica directamente.

Aplica a

PCs, servidores o VMs que arrancan en modo BIOS/Legacy (no UEFI).
Entornos donde Secure Boot no existe o no se puede habilitar por plataforma.

Acción recomendada

Inventariar como “BIOS/Legacy”.
Valorar migración a UEFI cuando toque (por estandarización y hardening), con pruebas.

Caso 1: PCs

En puestos de trabajo, lo más eficiente es tratarlo como un proyecto de actualización controlada: piloto, validación y despliegue por oleadas. Normalmente el parque se estabiliza con Windows Update y firmware al día, pero conviene anticipar BitLocker y firmware antiguos.

Riesgos típicos en PCs

BIOS/UEFI desactualizada o con NVRAM limitada/llena.
BitLocker y políticas de seguridad que interfieren con cambios del arranque.
Equipos antiguos sin mantenimiento de firmware por parte del fabricante.

Workaround para piloto (PC)

Este workaround está pensado para laboratorio o piloto. El objetivo es forzar el flujo y validar si el equipo puede aplicar la actualización sin errores antes de escalar a oleadas.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Después, reinicia y valida. En algunos entornos pueden ser necesarios más de un reinicio para completar cambios.

Verificación (PC)

La validación más rápida es revisar eventos. Si tienes errores persistentes de escritura en NVRAM, suele apuntar a firmware o a limitaciones del equipo.

Ruta: Visor de eventos > Registros de aplicaciones y servicios > Microsoft > Windows > Hardware-Events > Admin
Event ID 1: intento de actualizar variable de Secure Boot
Event ID 2: error al escribir nueva clave en NVRAM (firmware/NVRAM/compatibilidad)

Caso 2: Servidores físicos (on-prem)

En servidores, el procedimiento se parece al de PCs, pero la ejecución debe ser más disciplinada: ventanas de mantenimiento, rollback, validación de roles y, sobre todo, dependencia del firmware del fabricante.

Qué cambia respecto a PCs

Reinicios planificados y coordinación con negocio.
Dependencia alta de BIOS/UEFI y firmware de plataforma.
Validación post-reinicio: roles (AD/SQL/RDS), almacenamiento, red y clúster si existe.

Plan recomendado para servidores

Inventario por modelo y versión de BIOS/UEFI.
Actualizar firmware del fabricante cuando sea necesario (antes del cambio).
Piloto: 1 servidor por familia de hardware.
Despliegue por oleadas: secundarios > críticos.
Validación: arranque limpio + servicios/roles/clúster OK.

Si necesitas alinear este tipo de cambios con continuidad operativa, suele encajar con un servicio de gestión de sistemas IT para mantener controlados firmware, reinicios, evidencias y ventana de mantenimiento.

Caso 3: Máquinas virtuales (VMs)

Las VMs son el caso más “traicionero”. Aunque el sistema operativo sea Windows y parezca un PC, el firmware es virtual y la NVRAM también. Si la plataforma no permite escribir variables de Secure Boot, el guest puede fallar aunque esté totalmente actualizado.

Por qué puede fallar en VMs

NVRAM virtual restringida o con limitaciones de escritura.
Compatibilidad de hardware virtual / UEFI / Secure Boot no alineada.
Hipervisor sin parches o sin guidance aplicado.

Orden correcto de actuación en VMs

Revisar el hipervisor (parches y recomendaciones del fabricante).
Revisar compatibilidad de la VM: hardware virtual, UEFI y Secure Boot.
Piloto con 1–2 VMs representativas por tipología.
Aplicar en el guest (updates y, si procede, workaround).
Validar eventos. Si hay Event ID 2 persistente, priorizar revisión del hipervisor/firmware virtual.

Inventario mínimo recomendado

Con este inventario puedes segmentar rápido, planificar oleadas y documentar evidencias. Es lo mínimo para no improvisar en producción y para poder auditar qué se tocó, cuándo y con qué resultado.

Campo	Ejemplo / valores	Por qué importa
Tipo de activo	PC / Servidor físico / VM	Define plan y riesgo operativo
Modo de arranque	BIOS/Legacy o UEFI	Determina si Secure Boot aplica
Secure Boot	Habilitado / Deshabilitado	Impacto directo del cambio
Fabricante/modelo	Dell/HP/Lenovo…	Dependencia de firmware
Versión BIOS/UEFI	Versión exacta	Compatibilidad y escritura NVRAM
Sistema operativo	Windows 10/11, Server 2019/2022…	Flujo de updates y soporte
BitLocker / cifrado	Sí/No + política	Puede afectar el arranque
Hipervisor (solo VMs)	ESXi/Proxmox/Hyper-V + versión	Firmware y NVRAM virtual
Criticidad	Alta/Media/Baja	Orden de oleadas
Resultado piloto	OK / Warning / Error	Decisión de escalado
Evidencias	Event ID 1/2 + notas	Trazabilidad y auditoría

Checklist por tipo de activo

Este bloque está pensado para que soporte o sistemas lo use como guía de ejecución. Si lo sigues, reduces la probabilidad de incidencias y evitas aplicar cambios sin evidencias.

Checklist PCs

Confirmar UEFI + Secure Boot.
Windows Update al día.
BIOS/UEFI en versión recomendada por fabricante.
Si hay BitLocker: plan de suspensión/control antes del cambio.
Piloto con workaround si procede.
Validación de eventos y reinicio.

Checklist servidores físicos

Firmware de plataforma actualizado (BIOS/UEFI + controladora si aplica).
Ventana de mantenimiento aprobada.
Rollback definido (backup, plan de reversión).
Piloto por modelo/familia.
Validación de roles/servicios/clúster tras reinicio.

Checklist VMs

Hipervisor parcheado y alineado con recomendaciones del fabricante.
Compatibilidad de VM revisada (hardware virtual, UEFI y Secure Boot).
Piloto por tipología de VM.
Si hay Event ID 2 persistente, revisar hipervisor/firmware virtual antes de insistir en el guest.

Preguntas frecuentes (FAQ)

Estas preguntas están redactadas para que el usuario empresarial entienda impacto, prioridades y cómo abordarlo sin tecnicismos innecesarios. También se prestan a marcado de FAQ schema.

¿El 1 de junio de 2026 dejarán de arrancar mis equipos?

No suele ser un “apagón” inmediato. El riesgo típico es quedar en un estado de seguridad degradado o encontrar problemas de compatibilidad futura si no se actualiza la cadena de confianza de Secure Boot. Por eso se recomienda anticiparse con inventario, piloto y despliegue controlado.

¿Qué equipos están más expuestos a incidencias?

Los que combinan firmware antiguo, NVRAM limitada, configuraciones de cifrado sensibles (como BitLocker) o entornos virtualizados donde el firmware/NVRAM dependen del hipervisor.

Si un equipo está en BIOS/Legacy, ¿tengo que hacer algo?

Para este tema concreto, no aplica Secure Boot. Aun así, BIOS/Legacy suele ser deuda técnica por estandarización y hardening, y conviene planificar migración a UEFI cuando sea viable.

¿Por qué en servidores es más delicado que en PCs?

Porque el reinicio y la validación impactan directamente en continuidad de servicios. Además, en servidores el firmware de fabricante suele ser determinante y hay que validar roles, almacenamiento, red y clúster tras aplicar cambios.

¿Por qué las VMs pueden fallar aunque el sistema operativo esté actualizado?

Porque el firmware y la NVRAM pueden estar limitados o controlados por el hipervisor. Si el guest no puede escribir variables de Secure Boot, verás errores (por ejemplo, Event ID 2). En ese caso, la corrección suele estar “debajo”: parches del hipervisor, compatibilidad y firmware virtual.

¿Debo aplicar el workaround a todos los equipos?

No como primera opción. Lo razonable es usarlo en piloto para validar comportamiento y aplicarlo solo donde sea necesario. En la mayoría de entornos, lo prioritario es mantener sistema operativo y firmware al día y desplegar por oleadas.

¿Qué evidencias conviene guardar para control interno?

Estado UEFI/Secure Boot por equipo, fecha de aplicación (piloto/oleada), versión de BIOS/UEFI o hipervisor, y export/captura de eventos relevantes (especialmente si hubo errores y remediación).

Siguientes pasos

Si quieres abordar este cambio sin improvisar, lo ideal es ejecutar inventario, piloto y despliegue por oleadas con evidencias. Así reduces riesgo operativo y evitas incidencias por firmware, cifrado o compatibilidad de virtualización.

Podemos ayudarte a definir el plan y ejecutarlo en PCs, servidores y VMs con ventanas de mantenimiento y control de cambios desde nuestro servicio de gestión de sistemas IT.

Contactar con IMHO Inmove IT Solutions

¿Te gusta? Comparte esta entrada:

Jordi de Lema de Moreta

El trabajo y la vocación de servicio es lo que ha hecho de IMHO una compañía de valor. ¿Cómo podemos ayudarte?

Ver Todas las entradas de Jordi de Lema de Moreta

SOPORTE

¿Necesitas Asistencia?

Nuestro equipo está listo para ayudarte a través de nuestro programa de teleasistencia, ofreciendo soporte remoto para resolver tus problemas rápidamente y mejorar la eficiencia de tus sistemas informáticos.

Ya soy cliente Contactar

Equipo profesional de soporte técnico informático