Revisar el Secure Boot ya que caducan

Cita de fran

Secure Boot: qué es, qué certificados caducan y por qué debes actualizar

Secure Boot es una función de seguridad integrada en sistemas UEFI que garantiza que el PC solo arranque con software firmado y autorizado.

Su objetivo es evitar rootkits, bootkits y malware antes de que Windows cargue.

Hasta aquí todo bien…

El problema viene con los certificados antiguos.

¿Cómo funciona Secure Boot?

Durante el arranque, el firmware UEFI comprueba firmas digitales usando varios elementos:

PK (Platform Key)

KEK (Key Exchange Key)

DB (Allowed Signatures Database)

DBX (Revoked Signatures Database)

Si algo no coincide o está caducado → no arranca.

Certificados que caducan (el problema real)

Muchos equipos aún usan certificados antiguos firmados antes de 2023.

Microsoft ha introducido nuevos certificados (2023) para mantener la cadena de confianza.

Si tu sistema no se actualiza:

Secure Boot puede bloquear el arranque

Windows puede fallar tras actualizaciones futuras

Linux u otros sistemas pueden dejar de iniciar

Aparecen errores tipo “Secure Boot violation”

Cómo comprobar si Secure Boot está activado (PowerShell)

Abre PowerShell como administrador y ejecuta:

Confirm-SecureBootUEFI

Resultados posibles:

True → Secure Boot activo
False → Secure Boot desactivado
Error → sistema en modo Legacy / BIOS antigua

Comando para comprobar si tienes el certificado Secure Boot 2023

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)

Qué hace este comando
Get-SecureBootUEFI db
Lee la base de datos DB de Secure Boot (certificados permitidos).
Convierte los bytes a texto ASCII
Esto permite buscar nombres de certificados legibles.
Busca el certificado clave
Windows UEFI CA 2023
En resumen:
Comprueba directamente si tu UEFI ya tiene el certificado nuevo de Microsoft (2023).

Cómo interpretar el resultado

True → Tienes instalado el certificado 2023
Tu sistema está preparado para los cambios de Secure Boot.
False → NO tienes el certificado 2023
Dependes de actualizaciones futuras (Windows / BIOS).
Error → Secure Boot desactivado o sistema en modo Legacy.


Por qué este comando es importante
Si NO tienes el certificado Windows UEFI CA 2023:

Futuras actualizaciones pueden bloquear el arranque
Secure Boot puede marcar Windows o cargadores como no válidos
Te obligará a desactivar Secure Boot (perdiendo protección)
Esto no es inmediato, pero va a pasar si no se actualiza.

Qué hacer si el resultado es False
No se instala a mano.
La solución correcta es:

Mantener Windows totalmente actualizado
Actualizar la BIOS/UEFI desde el fabricante
Reiniciar y volver a ejecutar el comando
Algunos fabricantes solo incluyen los certificados nuevos en actualizaciones de BIOS.no.

Cómo obtener los certificados nuevos (2023)
Los certificados nuevos NO se instalan manualmente en la mayoría de casos.

Se actualizan mediante:

Windows Update
Actualizaciones de firmware/BIOS del fabricante
Actualizaciones de DB y DBX desde Microsoft




Qué hacer:

Mantén Windows totalmente actualizado
Actualiza la BIOS/UEFI desde la web del fabricante
No desactives Secure Boot “por si acaso”
Qué puede pasar si no actualizas



Si ignoras este tema:

Tu PC puede no arrancar tras una actualización
Tendrás que entrar en BIOS a desactivar Secure Boot
Pierdes protección contra malware de arranque
En entornos empresariales: problemas serios de compatibilidad

TAMBIÉN PUEDES VER:

https://support.microsoft.com/es-es/...b-9a59d10f194b


https://techcommunity.microsoft.com/...4469235-_step2


FUENTE, INFORMACIÓN, Y TUTORIAL:

https://elchapuzasinformatico.com/20...s-secure-boot/ , https://fanaticosdelhardware.com/mic...cidad-en-2026/ , https://scpc.live/tiktok/988-988/ , https://www.tomshardware.com/softwar...-should-be-set



Edito para añadir:


(donde dice que hay una actualización en Windows Update que es opcional




Más información:


https://www.windowslatest.com/2026/0...minal%20(Admin).

Cita de Don Kiko

Ojo, esto también afecta al firmware de dispositivos como las tarjetas gráficas.

Si la ROM de la GPU no está firmada con el certificado UEFI 2023, a partir de junio de 2026, el ordenador podría arrancar pero no pasar de una pantalla negra.

https://www.techpowerup.com/340520/s...fter-june-2026

En otros casos, se podría evitar activando CSM (Compatibility Support Module), pero a costa de perder "Resizable Bar".

https://www.nvidia.com/en-us/geforce...oot-june-2026/

Cita de kgonla

Yo también paso del Secureboot, no sirve para nada.
Cuando se supo que M$ iba a obligar a usarlo en W11 en menos de 48 horas lo hackearon así que no aporta ninguna seguridad, solo molestias.

Cita de Chacolin

El Secure boot es un invento de MS para que arranques sólo con lo que ellos quieran que arranques. Como muchas otras imposiciones de MS sólo son marketing engañoso para tener controlado y "en sus manos" al usuario medio que no profundiza en nada y sólo usa el PC para conectar con el banco, ver vídeos y navegar por internet.

Cita de Don Kiko

Ojo, esto también afecta al firmware de dispositivos como las tarjetas gráficas.

Si la ROM de la GPU no está firmada con el certificado UEFI 2023, a partir de junio de 2026, el ordenador podría arrancar pero no pasar de una pantalla negra.

https://www.techpowerup.com/340520/s...fter-june-2026

En otros casos, se podría evitar activando CSM (Compatibility Support Module), pero a costa de perder "Resizable Bar".

https://www.nvidia.com/en-us/geforce...oot-june-2026/

Cita de VSWR

Hoy me he puesto con este tema los certificados de Secure Boot con los siguientes resultados.

PC Portátil HP Elitebook 15-EG2014 con windows 11 actualizado


En PowerShell
Confirm SecureBootUEFI: True.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023: False

En el visor de eventos
Los certificados de arranque seguro actualizados están disponibles en este dispositivo, pero aún no se han aplicado al firmware. Revisa las instrucciones publicadas para completar la actualización y mantener la protección completa. Esta información de firma de dispositivo se incluye aquí. ETC.... (evento 1801)

En la BIOS
Compruebo la versión de BIOS en la web del fabricante y no es la última. Descargo la última versión y actualizo.

Despues reintento y vuelvo a recibir false al comprobar si las claves son las 2023.

Consulto alguna IA y me dice que en ocasiones hay que reestablecer manualmente las Factory Key en la configuración de Secure Boot.

Ahora es donde viene mi problema, no soy capaz de poder habilitar la opción "Load HP Factory Defauts Keys" Lo he intendado estableciendo contraseña en Security en Administrator Password pero tampoco se habilita.

No soy capaz de avanzar, espero que algun shur me ilumine.

PD: Soy consciente de que hay que desahibiltar bitlocker o tener las claves antes de resetear la factory keys.