La tecnología avanza tan rápido que a veces nos olvidamos de que hasta las piezas invisibles del software tienen fecha de caducidad. En un futuro no muy lejano, nos toca enfrentarnos a un cambio relevante en la seguridad de arranque de nuestros ordenadores. Se trata de la renovación de los certificados de Secure Boot de Microsoft, un elemento que lleva con nosotros más de una década y que ahora necesita pasar por boxes para seguir protegiéndonos como es debido ante las amenazas modernas que acechan en la red.
No hay por qué llevarse las manos a la cabeza, ya que tu equipo no va a estallar ni se va a quedar como un pisapapeles cuando llegue la fecha señalada en el calendario. Sin embargo, lo que sí es cierto es que, si no se gestiona bien esta transición, la protección de tu sistema entrará en una especie de estado de seguridad degradada. Esto significa que, aunque el PC arranque con total normalidad, será mucho más vulnerable a ataques que ocurren antes incluso de que cargue el antivirus, algo que a nadie le hace ninguna gracia.
¿Qué es exactamente el Secure Boot y por qué es tan vital?
Para entender el jaleo, hay que ver el Secure Boot como el portero de una discoteca que comprueba el DNI de todo el que quiera entrar. Su función es verificar la firma digital del sistema operativo antes de permitir que se inicie nada más. Si esa firma no es de confianza o parece estar manipulada, el portero cierra la puerta y el sistema no arranca. El problema es que las llaves que se usan actualmente, las llamadas Microsoft Corporation UEFI CA 2011, tienen ya 15 años y se han quedado algo viejas para los tiempos que corren.
Por esta razón, se ha iniciado una migración hacia certificados más nuevos y seguros. Los equipos que se han fabricado desde principios de 2024 ya vienen con los deberes hechos y traen estas nuevas claves de serie. Además, marcas punteras que vemos a diario en las tiendas como Dell o Lenovo ya están enviando equipos con certificados duales para que la transición sea lo más suave posible y el usuario no note nada raro durante el proceso de actualización.
Los riesgos de quedarse con una seguridad obsoleta
Si tu ordenador no se actualiza a tiempo, el peligro real no es que se apague, sino que se vuelva «ciego» ante virus muy sofisticados. Al caducar los certificados antiguos, el sistema deja de recibir datos sobre qué cargadores de arranque han sido hackeados. Es como si el portero de antes dejara de recibir la lista de personas problemáticas; acabaría dejando pasar a cualquiera porque no sabe quién es el malo ahora mismo. Esto es especialmente crítico para evitar ataques que ya han demostrado ser capaces de saltarse estas protecciones en el pasado.
Un ejemplo de esto es el famoso ataque BlackLotus, un software malicioso de tipo bootkit que fue capaz de burlar el Secure Boot incluso en sistemas que estaban al día. Para frenar estas amenazas, Microsoft utiliza una base de datos de revocación denominada DBX, que básicamente es una lista negra de archivos en los que ya no se debe confiar. Sin los nuevos certificados en vigor, tu equipo dejará de actualizar esa lista negra, quedando expuesto a vulnerabilidades ya conocidas por los ciberdelincuentes.
¿Cómo ponerse al día y qué hacer en España?
En nuestro país, donde solemos estirar la vida útil de los ordenadores bastante tiempo, es importante estar atentos. Si compraste tu equipo en sitios como MediaMarkt, PcComponentes o El Corte Inglés hace unos años, lo más probable es que necesites una actualización de firmware. De momento, fabricantes como ASUS no han dado fechas exactas para todos sus modelos antiguos, así que lo mejor es ir revisando de vez en cuando la web de soporte del fabricante o usar las herramientas propias de actualización que suelen venir instaladas en el equipo.
Para los que usan el ordenador en el trabajo o gestionan pequeñas empresas, la cosa se pone un poco más seria. No basta con darle a un botón; a veces hay que andar con pies de plomo y gestionar claves del registro o, muy importante, asegurarse de tener a buen recaudo las claves de recuperación de BitLocker. Si el sistema detecta un cambio importante en el firmware y no tienes esa clave, podrías quedarte fuera de tus propios archivos, y eso sí que sería un verdadero quebradero de cabeza para cualquier autónomo o pyme.
Mantenerse al tanto de las notificaciones de Windows Update y no ignorar esos avisos de actualización que a veces nos interrumpen es la mejor defensa que tenemos ahora mismo. Aunque el cambio definitivo no se completará hasta junio de 2026, la transición silenciosa ya ha comenzado y lo más inteligente es verificar el estado de seguridad de nuestro dispositivo periódicamente. Con un poco de atención a las versiones de la BIOS y los parches del sistema operativo, nuestro ordenador seguirá siendo un búnker frente a las amenazas externas sin que tengamos que preocuparnos por fechas de caducidad.
