En el Patch Tuesday de enero de 2026, Microsoft divulgó CVE-2026-21265, una vulnerabilidad de bypass de característica de seguridad (security feature bypass) en Windows Secure Boot con una puntuación CVSS de 6.4 y severidad calificada como Importante. No se trata de un fallo de código clásico, sino de un problema de gestión del ciclo de vida criptográfico: los certificados de Microsoft almacenados en el firmware UEFI están llegando a su fecha de caducidad.
Qué es exactamente
Secure Boot es el mecanismo de UEFI que garantiza que, durante el arranque, solo se ejecute software firmado por una autoridad de confianza. Esa confianza se ancla en certificados de Microsoft almacenados en dos bases del firmware: la KEK (Key Enrollment Key) y la DB (Signature Database). Los certificados emitidos en 2011 que sostienen este esquema están expirando en 2026:
- Microsoft Corporation KEK CA 2011: 24 de junio de 2026
- Microsoft Corporation UEFI CA 2011: 27 de junio de 2026
- Microsoft Windows Production PCA 2011: 19 de octubre de 2026
Cuando estos certificados expiran sin haber sido renovados, el sistema deja de recibir actualizaciones críticas de Secure Boot, como nuevas listas de revocación (DBX) y mitigaciones del gestor de arranque. Un equipo en ese estado queda en mayor riesgo de que se eluda la cadena de arranque seguro, por ejemplo cargando un bootloader malicioso que normalmente sería rechazado.
A quién afecta
Afecta a sistemas Windows 10, Windows 11 y Windows Server que usen Secure Boot con los certificados de Microsoft de 2011, es decir, prácticamente todo el parque de equipos modernos. El problema es especialmente relevante en máquinas virtuales y dispositivos gestionados que dependan de la cadena de confianza UEFI. Aunque el sistema afectado es Windows, conviene recordar que muchas distribuciones de Linux arrancan mediante el shim firmado bajo la Microsoft UEFI CA 2011, por lo que esta transición de certificados también es relevante en entornos de arranque dual.
Gravedad y estado de explotación
Microsoft clasificó la vulnerabilidad como Publicly Disclosed (divulgada públicamente), porque las fechas de expiración de los certificados son información pública, pero la valoró como Exploitation Less Likely (explotación menos probable) y no consta explotación activa. La gravedad real es media: no permite por sí sola ejecución de código, pero degrada una protección fundamental contra rootkits y bootkits.
Mitigación y parche
La actualización de enero de 2026 sienta las bases para resolver el problema desplegando los nuevos certificados de 2023, que sustituyen a los de 2011:
- Microsoft Corporation KEK 2K CA 2023 se añade a la KEK.
- Microsoft UEFI CA 2023 y Microsoft Option ROM UEFI CA 2023 se añaden a la DB.
Recomendaciones prácticas:
- Aplicar las actualizaciones acumulativas de 2026 cuanto antes; los certificados y la tarea de servicio que los instala se distribuyen a través de las acumulativas (típicamente de mayo o junio de 2026).
- Verificar que el proceso de actualización de certificados se complete correctamente, especialmente en máquinas virtuales, donde se han reportado fallos.
- Para administradores de flota, seguir el playbook oficial de Microsoft para la transición de certificados de Secure Boot en 2026 antes de las fechas de caducidad.
Si gestionas arranque seguro junto a controles de seguridad del sistema, te puede interesar nuestra guía sobre SELinux y AppArmor para reforzar la postura de seguridad más allá del firmware. Consulta también nuestra ficha de Windows Desktop.