Guillem Alsina Gonzàlez
En el año 2011, se emitieron los certificados originales que garantizan la integridad del arranque de los sistemas operativos Windows, impidiendo la ejecución de software no autorizado al encender el equipo y, tras quince años en funcionamiento, estos componentes de seguridad se acercan a su fecha de caducidad. Para evitar problemas de compatibilidad, Microsoft ha comenzado a distribuir un nuevo conjunto de certificados de arranque seguro para sustituir a los originales de 2011 que caducan en 2026. Estas credenciales actualizadas, emitidas originariamente en 2023, se instalan de forma automática a través del canal habitual de descargas del sistema operativo.
Con el objetivo de facilitar el seguimiento de este proceso de transición, la aplicación de seguridad del sistema operativo incorpora, desde este mismo mes de abril, nuevos indicadores visuales para comprobar si los equipos han completado la actualización. Si bien hasta ahora esta herramienta únicamente indicaba si la función protectora de arranque estaba activada o desactivada, ahora emplea un distintivo verde para confirmar que el ordenador está completamente protegido y no requiere ninguna intervención adicional por parte del usuario.
Para los responsables de tecnología en entornos corporativos, es importante destacar que estas notificaciones vienen silenciadas de fábrica en los entornos profesionales gestionados centralmente para evitar un exceso de avisos entre los empleados. No obstante, los administradores de sistemas pueden activar esta monitorización en los equipos corporativos modificando los registros del sistema, ya que viene desactivada por defecto. Dicha medida permite a los departamentos técnicos llevar un control exhaustivo del estado de la protección de todo el parque informático, tanto en versiones de usuario como en sistemas de servidores.
A medida que avance el calendario, el sistema de alertas se volverá más estricto y sumará avisos emergentes fuera de la propia aplicación de seguridad. Un nuevo indicador amarillo señalará a partir de mayo aquellos ordenadores donde la actualización automática esté bloqueada por limitaciones físicas o técnicas del dispositivo. En estos casos en los que el soporte físico o el código interno del hardware impiden el proceso automático, la recomendación principal es contactar con el fabricante del equipo informático para encontrar una solución que permita aplicar las nuevas credenciales.
El momento crítico del proceso de transición se sitúa a mediados de año, fecha en la que algunas de las credenciales originales comenzarán a expirar definitivamente. Como consecuencia, el sistema mostrará un indicador rojo a partir de junio en aquellos equipos vulnerables que no hayan podido actualizar su configuración de arranque antes de la caducidad de los certificados. Este estado de máxima alerta advertirá que el ordenador presenta un riesgo de seguridad que no puede ser solucionado con la configuración actual y que impide la recepción de futuros parches para proteger el proceso de inicio.
Microsoft detalla todo esto y da más información sobre las nuevas medidas para prevenir fallos debido a la caducidad de los certificados para el arranque del sistema en esta página de soporte.
