El vencimiento de los certificados raíz de Secure Boot el próximo 24 de junio obliga a los administradores de sistemas de toda España a aplicar una actualización crítica antes de que expire la cadena de confianza que protege el arranque de millones de equipos con Windows y Linux. Microsoft ha instado a las empresas a no demorar la instalación de los nuevos certificados para evitar una ventana de vulnerabilidad frente a bootkits UEFI, un tipo de malware especialmente escurridizo que se carga antes que el sistema operativo y sobrevive a reinstalaciones completas.
Claves de la operación
- Tres certificados raíz caducan el 24 de junio de 2026. Son el eslabón crítico de la cadena de confianza de Secure Boot, el mecanismo que verifica la firma digital de cada componente de firmware y software que se carga durante el arranque.
- Los equipos sin la actualización quedarán expuestos a bootkits. Este malware se aloja en la UEFI, se ejecuta antes que el antivirus y puede reinstalar infecciones incluso tras formatear el disco duro.
- Microsoft urge a aplicar el parche ya. Aunque los sistemas seguirán arrancando, la verificación criptográfica dejará de funcionar, abriendo la puerta a ataques que explotan la confianza rota del firmware.
¿Qué pasa si no actualizo antes del día 24?
Los tres certificados que expiran —firmados por Microsoft— son la piedra angular de Secure Boot, el guardián del arranque seguro diseñado por la propia compañía. Su función es validar que cada pieza de código que se ejecuta desde que se pulsa el botón de encendido procede de un proveedor de confianza, como el fabricante de la placa base. Si los certificados caducan sin que el sistema haya recibido los nuevos, la verificación se rompe: el equipo arranca igual, pero sin esa capa de autenticación. Cualquier firmware malicioso puede colarse sin ser detectado.
Los bootkits UEFI son precisamente el tipo de amenaza que Secure Boot nació para frenar. Se instalan en la interfaz de firmware extensible unificada —la heredera de la BIOS— y se cargan antes incluso que el sistema operativo. Una vez dentro, suelen inyectar malware en el sistema que roba credenciales, abre puertas traseras o ejecuta otras acciones maliciosas. Lo peor: desinfectar el sistema operativo no sirve de nada, porque el bootkit lo reinfecta en el siguiente arranque. Y sobrevive a un formateo completo.
Tres certificados que sustentan la confianza de millones de equipos van a caducar en siete días, y la única defensa es una actualización que muchos administradores aún no han aplicado.
Un fallo masivo que recuerda a otros apagones de firma digital
La situación tiene ecos de otros episodios en los que certificados caducados provocaron caídas de servicio en cadena. En España, el sector público y las pymes tienen fresco el apagón de la FNMT de 2023, cuando miles de sedes electrónicas dejaron de funcionar por la expiración de certificados raíz de la fábrica de moneda. La diferencia ahora es que el fallo no deja un servicio inaccesible, sino un sistema operativo que aparenta normalidad pero ha perdido una de sus defensas más básicas.
Microsoft no ha publicado cifras oficiales de cuántos equipos están aún sin parchear, pero la combinación de sistemas heredados, dispositivos industriales congelados y pymes sin mantenimiento proactivo dibuja un escenario preocupante. La actualización no es opcional: es el reemplazo de la llave maestra que valida todo lo que ocurre durante el arranque.
Lo que las empresas españolas se juegan con este vencimiento
En esta redacción entendemos que el riesgo no es solo técnico, sino de continuidad de negocio. Un equipo de sobremesa o un portátil corporativo comprometido a nivel de firmware puede convertirse en el eslabón débil que permita un ataque de ransomware o una fuga de datos. Y en sectores regulados —banca, energía, sanidad— el incumplimiento de la diligencia debida en ciberseguridad tiene consecuencias que van más allá del incidente técnico: la CNMV y el Banco de España llevan años endureciendo los requisitos de resiliencia operativa, y un equipo sin Secure Boot funcional es difícil de justificar en una auditoría.
El plazo es corto: siete días desde la publicación de este artículo. Los departamentos de TI que aún no hayan desplegado la actualización tienen tiempo de sobra para hacerlo si actúan hoy. Pero si esperan al día 23, se arriesgan a una carrera contrarreloj en la que el margen de error es nulo. O peor: a descubrir el día 25 que una flota de equipos industriales con Windows 10 LTSC lleva semanas sin la protección que creían tener.
La historia reciente de la ciberseguridad está llena de incidentes que nacieron de plazos ignorados y parches pospuestos. El 24 de junio no es una fecha de revisión, sino una línea roja. Y las líneas rojas, en seguridad, no se cruzan: se respetan o se sufre.
