La seguridad informática es un aspecto fundamental para los usuarios y las empresas que utilizan dispositivos con Windows. Por eso, Microsoft se esfuerza por ofrecer las mejores soluciones para proteger sus sistemas operativos y sus aplicaciones. Una de ellas es el Secure Boot o arranque seguro, una característica que llegó por primera vez en Windows 8 y que impide que se ejecuten componentes no autorizados durante el inicio del sistema.
El Secure Boot se basa en unas llaves de seguridad o certificados que validan la autenticidad y la integridad de los elementos que intervienen en el proceso de arranque, como el firmware, el cargador de arranque, los controladores o los programas. Estas llaves de seguridad se almacenan en una base de datos (DB) que se actualiza periódicamente para revocar los certificados que se consideran inseguros. Esta base de datos se llama DBX o lista de firmas prohibidas.
Sin embargo, hay otra base de datos que no se actualiza con tanta frecuencia y que contiene los certificados que se usan para firmar la propia DB y la llave de intercambio (KEK), que sirve para añadir o eliminar certificados de la DB. Esta base de datos se llama DB o lista de firmas autorizadas.
Pues bien, Microsoft ha anunciado que va a actualizar las llaves de seguridad que se usan para firmar la DB y la KEK, ya que las actuales datan de 2011 y están a punto de caducar. Estas llaves de seguridad son las siguientes:
- Microsoft Corporation KEK CA 2011
- Microsoft Windows Production PCA 2011
- Microsoft UEFI CA 2011
Estas llaves de seguridad se van a reemplazar por sus versiones de 2023, que son las siguientes:
- Microsoft Corporation KEK CA 2023
- Microsoft Windows Production PCA 2023
- Microsoft UEFI CA 2023
En este artículo, te explicamos qué implica esta actualización y por qué es una noticia curiosa e importante para la seguridad de tu PC con Windows 11.
¿Qué implica la actualización de las llaves de seguridad de UEFI?
La actualización de las llaves de seguridad de UEFI supone un cambio importante en la base de datos DB. Esta que contiene los certificados que se usan para firmar la DB y la KEK. Estos certificados son los que establecen la confianza entre los componentes que intervienen en el Secure Boot, y por tanto, son los que garantizan que el sistema se inicie de forma segura y sin interferencias.
Microsoft ha decidido actualizar estas llaves de seguridad porque las actuales están a punto de caducar. Ya que tienen una validez de 15 años y se emitieron en 2011, cuando se lanzó Windows 8. Si estas llaves de seguridad caducaran, el Secure Boot dejaría de funcionar correctamente. Pudiendo provocar problemas de compatibilidad o de arranque en los dispositivos con Windows.
Para evitar estos inconvenientes, Microsoft ha emitido unos nuevos certificados con una validez de 15 años más. Se usarán para firmar la DB y la KEK a partir de ahora. Estos nuevos certificados se van a distribuir a través de unas actualizaciones de la base de datos DB que se van a implementar en fases para todos los dispositivos que tienen habilitado el Secure Boot.
La primera fase de estas actualizaciones se inició el 13 de febrero de 2024, y consiste en añadir los nuevos certificados a la base de datos DB, sin eliminar los antiguos. De esta forma, se establece una confianza mutua entre los certificados de 2011 y los de 2023, y se evita que se produzcan errores o incompatibilidades durante el proceso de transición.
La segunda fase de estas actualizaciones se realizará más adelante. Consistirá en eliminar los certificados de 2011 de la base de datos DB, dejando solo los de 2023. De esta forma, se completará el cambio de las llaves de seguridad de UEFI. Asegurando que el Secure Boot siga funcionando correctamente hasta el año 2038, cuando caduquen los nuevos certificados.
La curiosidad detrás de la actualización de las llaves UEFI
La actualización de las llaves de seguridad de UEFI es una noticia curiosa e importante por varios motivos. En primer lugar, porque se trata de un cambio que no se produce con mucha frecuencia. Y a que las llaves de seguridad de UEFI tienen una validez de 15 años y solo se han actualizado una vez desde que se introdujo el Secure Boot en Windows 8.
Es un cambio que afecta a la seguridad de tu PC con Windows 11, ya que el Secure Boot es una característica que impide que se ejecuten componentes no autorizados durante el inicio del sistema, lo que evita posibles ataques o infecciones por malware.
Se trata de un cambio que requiere una coordinación entre Microsoft y sus socios del ecosistema. Como los fabricantes de dispositivos, los proveedores de firmware, los desarrolladores de software o los administradores de sistemas. Asegurando que la actualización de las llaves de seguridad de UEFI se realice de forma ordenada y sin problemas.
Por último, porque se trata de un cambio que puede pasar desapercibido para la mayoría de los usuarios. Ya que la actualización de las llaves de seguridad de UEFI se realiza de forma automática y transparente. Sin que el usuario tenga que hacer nada al respecto. Sin embargo, es un cambio que puede tener un impacto significativo en la seguridad y el funcionamiento de tu PC con Windows 11.
Apenas el fin de semana actualicé mi BIOS y al reiniciar me pidió clave de recuperación de Bitlocker, cosa que no había ocurrido antes, puede que esté relacionado con esto o no.
Lo digo para que lo tengan en cuenta y tengan sus claves a la mano o manera de recuperarlas de su cuenta de MS.
¡Gracias por el aviso!
¿los equipos que ya no tienen soporte también lo van a recibir?? los equipos que aún usan windows 8 por ejemplo… o ya no van a arrancar??