Microsoft recordó recientemente a los usuarios que el certificado de cifrado utilizado para el arranque seguro en el ecosistema de Windows está a punto de actualizarse. El certificado de arranque seguro inicial, que se ha utilizado durante más de 15 años desde el lanzamiento de Windows 8, caducará en junio de 2026 y deberá ser reemplazado por un nuevo certificado para mantener la seguridad durante la fase de inicio del sistema.
El arranque seguro es una característica de seguridad a nivel de firmware introducida como parte de la especificación UEFI. Su objetivo principal es evitar que se cargue código de arranque potencialmente malicioso antes de que se inicie el sistema operativo. Por lo tanto, su raíz de confianza (certificados y claves) debe actualizarse periódicamente para evitar que las credenciales antiguas se conviertan en un punto débil en los ataques debido al envejecimiento criptográfico. Nuno Costa, director de programas del Departamento de Servicios y Entrega de Windows de Microsoft, dijo en el blog oficial que retirar certificados antiguos e introducir nuevos certificados es una práctica estándar en la industria y ayuda a que la plataforma cumpla siempre con las expectativas de seguridad modernas.
De hecho, Microsoft lanzó una nueva versión del certificado de arranque seguro en 2023, pero el certificado original ha sido responsable de validar el proceso de arranque desde Windows 8. Los usuarios y las empresas pueden obtener nuevos certificados a través de una variedad de canales confiables, incluidas las actualizaciones de firmware UEFI publicadas por los fabricantes de placas base. Al mismo tiempo, Microsoft también integrará los nuevos certificados en parches mensuales y actualizaciones de seguridad, que se distribuirán automáticamente a través de Windows Update. Los entornos empresariales pueden utilizar varias herramientas de gestión para personalizar el proceso de envío. Microsoft describe esta actualización de certificado como una de las operaciones coordinadas de mantenimiento de seguridad más grandes en el ecosistema de Windows.
Dado que Secure Boot se ejecuta en la capa de firmware y afecta directamente la forma en que se inicia la PC, esta actualización requiere que Microsoft trabaje en estrecha colaboración con los fabricantes de hardware, OEM y otros socios para actualizar el firmware de millones de dispositivos Windows para evitar reacciones en cadena, como fallas de arranque generalizadas. Los dispositivos que aún se encuentran en el ciclo de soporte de Microsoft (incluidas las máquinas con Windows 11 y Windows 10 que participan en el Programa de actualización de seguridad extendida) pueden recibir el nuevo certificado a través de Windows Update, mientras que las PC más antiguas no podrán instalar esta actualización y serán relativamente menos seguras.
Costa señaló que los dispositivos que aún dependen del antiguo certificado de 2011 seguirán arrancando normalmente en el corto plazo, pero se considerarán en un estado de seguridad "degradado", y es posible que dichos dispositivos no reciban nuevas capacidades de protección a nivel de firmware en el futuro. A medida que se descubren nuevas vulnerabilidades en la capa de arranque, si no se pueden instalar las medidas de mitigación correspondientes, la exposición de los sistemas relacionados seguirá ampliándose e incluso puede causar problemas de compatibilidad a largo plazo. Por ejemplo, los sistemas operativos, firmware, hardware o software actualizados que dependen del arranque seguro no podrán cargarse. Los fabricantes de PC como Dell han proporcionado instrucciones para verificar si el sistema admite el nuevo certificado de arranque seguro para facilitar a los usuarios confirmar el estado de sus dispositivos.
Para las computadoras que no habilitan el arranque seguro en absoluto, las operaciones diarias generalmente no se verán afectadas directamente. Sin embargo, Secure Boot ha encontrado muchos incidentes de seguridad graves desde su nacimiento, incluido "PKfail", que expuso desafíos de implementación y administración. Sin embargo, este mecanismo se está convirtiendo cada vez más en un requisito obligatorio para algunos juegos en línea y MOBA, lo que significa que los usuarios que ejecutan Linux o hardware de juegos más antiguo pero aún suficientemente potente pueden enfrentar exclusión o mayores barreras de entrada al participar en estos juegos de nueva generación.