¿Te encuentras con ese molesto ID de evento 1801 que indica que tus CA/claves de arranque seguro necesitan actualizarse ? Sí, es un fastidio, porque suele indicar que algunos de tus certificados de arranque seguro o listas de revocación están desactualizados. Básicamente, es la forma en que tu sistema te dice: “Necesito actualizar esto antes de reiniciar de forma segura”.Normalmente, Windows lo gestiona automáticamente mediante actualizaciones, pero a veces se bloquea, quizá por una actualización fallida o un fallo de la BIOS/UEFI. Aquí tienes un resumen de lo que me ha funcionado, con algunos detalles esenciales que quizás debas analizar. Porque, claro, Windows tiene que complicar esto más de lo que debería.
Cómo solucionar el ID de evento 1801: Es necesario actualizar las CA y las claves de arranque seguro
Instalar actualizaciones pendientes y reiniciar
Esta es la solución más sencilla: si tu sistema no ha completado el proceso de actualización, los certificados pueden quedar obsoletos. Ve a Configuración > Windows Update y haz clic en Buscar actualizaciones. Busca actualizaciones con la etiqueta “Actualización de seguridad” o algo como KB5016061. Instala todo lo disponible, reinicia y espera un poco. A veces, el registro de eventos muestra la advertencia incluso después de la actualización, pero reiniciar suele ser suficiente para solucionarlo. Un aviso: en algunos sistemas, la actualización es delicada y requiere un segundo o tercer reinicio para que se instale, así que no te sorprendas si tarda un par de intentos.
Activar manualmente la tarea de actualización de arranque seguro
Esta es un poco extraña, pero efectiva. Windows usa una tarea programada que gestiona estas actualizaciones de certificados en segundo plano, pero si se bloquea o no se ejecuta, puedes forzarla. Implica algunos ajustes en el registro y ejecutar la tarea programada manualmente.
Abra PowerShell como administrador (busque PowerShell, haga clic derecho y seleccione ” Ejecutar como administrador” ).Luego, ejecute este comando para configurar el indicador de actualización:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
A continuación, fuerce la comprobación de actualización iniciando la tarea programada:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Cierra PowerShell y reinicia tu PC. A veces, el proceso de actualización necesita un par de reinicios o aproximadamente una hora para completarse, así que no te preocupes si no es instantáneo.
Verifique y actualice el BIOS/UEFI de su placa base
Si el firmware de tu BIOS/UEFI es muy antiguo, podría estar impidiendo que los nuevos certificados se gestionen correctamente. Consulta el sitio web del fabricante de tu placa base, busca la última actualización de la BIOS y actualízala si no lo has hecho últimamente. Es sorprendentemente fácil quedarse con un firmware desactualizado, lo que puede causar problemas extraños como este. Después de actualizar, comprueba si la advertencia desaparece. A veces, incluso una BIOS nueva puede solucionar problemas subyacentes de compatibilidad con UEFI que interfieren con los certificados de Arranque Seguro.
Comprobar y habilitar el arranque seguro en el firmware UEFI
Durante la instalación de Windows o ciertas modificaciones de la BIOS, el Arranque Seguro puede desactivarse, a veces sin que nos demos cuenta. Para solucionarlo, acceda a la configuración del firmware:
- Haga clic en el menú Inicio, luego mantenga presionada la tecla Mayús y haga clic en Reiniciar.
- Cuando aparezca el menú, seleccione Solucionar problemas > Opciones avanzadas > Configuración de firmware UEFI.
- Haga clic en Reiniciar. El sistema se reiniciará con la configuración BIOS/UEFI.
- Vaya a las pestañas Arranque o Seguridad y busque Arranque seguro.
- Configúrelo en Habilitado o, si ve opciones como Modo estándar o Predeterminado, selecciónelas.
- Guarde los cambios y salga. Inicie Windows y compruebe si el evento desaparece.
Nota: algunos sistemas pueden tener un modo de arranque seguro o un modo personalizado independiente: elija el modo predeterminado o estándar a menos que sepa lo que está haciendo, ya que cambiar las claves de confianza puede bloquear su sistema si no tiene cuidado.
Verifique el estado de la actualización y espere
Si el error persiste, es posible que Windows informe un falso positivo. Puede comprobar el estado actual con PowerShell. Abra PowerShell como administrador y ejecute:
$status = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name "UEFICA2023Status" -ErrorAction SilentlyContinue).UEFICA2023Status $capable = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "Capable" -ErrorAction SilentlyContinue).Capable Write-Host "UEFI CA 2023 Update Status: $status" Write-Host "System Capable Flag: $capable"
Si ve “Actualizado” o el número 2 para UEFICA2023Status, el sistema está listo y puede ignorar la advertencia. Si aparece “En progreso” o algo similar, significa que Windows aún está procesando la actualización; estos procesos pueden tardar un poco, a veces hasta unas 24 horas. La mejor opción es tener paciencia.
¿Cómo habilitar la gestión de claves de arranque seguro?
Si quieres tener más experiencia, puedes administrar tus claves de Arranque Seguro directamente a través de UEFI. Inicia la configuración UEFI como se describe arriba y busca opciones como Administración de Claves, Inscripción de Claves de Arranque Seguro o similares. Aquí puedes agregar o eliminar Claves de Plataforma (PK), Claves de Intercambio de Claves (KEK) o verificar tus firmas. Esto es algo avanzado (si no estás seguro, mejor usa las opciones predeterminadas), pero es útil si personalizas el Arranque Seguro para configuraciones de arranque dual o entornos de prueba.
¿Qué es exactamente una actualización de arranque seguro?
Esta actualización no se limita a añadir nuevos certificados; es una forma de que el firmware del sistema actualice las listas de firmas de confianza y revocadas, principalmente db y dbx. Es como actualizar una lista negra para detectar actores maliciosos, a la vez que se instalan los nuevos certificados de confianza para garantizar un funcionamiento fluido y seguro. Cuando Microsoft implementa estas actualizaciones, suelen incluir revocaciones de certificados asociados a cargadores de arranque comprometidos u obsoletos. Mantenerlas actualizadas ayuda a prevenir la carga de malware en las primeras etapas del arranque, protegiendo así todo el sistema de ataques furtivos.