Tras semanas de quebraderos de cabeza con el último Patch Tuesday, Microsoft ha decidido mover ficha para que la actualización KB5089549 deje de ser un dolor de cabeza para administradores y usuarios avanzados. La compañía acaba de incluir scripts centralizados de arranque seguro que automatizan buena parte del proceso, justo en el peor momento posible para una actualización que viene acumulando problemas desde su despliegue.
Hace apenas unos días vimos cómo la KB5089549 fallaba al instalar y ralentizaba Internet en bastantes equipos, y ahora Microsoft añade un cambio discreto pero útil que pasó desapercibido en las notas iniciales. La empresa ni siquiera lo mencionó al principio, lo que ya dice bastante sobre cómo se está gestionando este despliegue.
Una carpeta nueva en C:\Windows que pasó inadvertida
El cambio llega sin ruido: una nueva carpeta llamada SecureBoot aparece en el directorio raíz del sistema, normalmente la unidad C. Microsoft tuvo que rectificar después y añadir la siguiente nota: «Esta actualización agrega una nueva carpeta SecureBoot en C:\Windows en los dispositivos compatibles».
Lo curioso es que la empresa olvidara mencionarlo al principio. Tratándose de un componente crítico de seguridad, llama la atención que un detalle así se filtre sin más en una actualización de revisión. Dentro encontramos la subcarpeta ExampleRolloutScripts, que es donde está la chicha del asunto.
Esta actualización agrega una nueva carpeta SecureBoot en C:\Windows en los dispositivos compatibles, confirma Microsoft en sus notas de versión revisadas.
Los scripts de PowerShell que automatizan el despliegue
Aquí es donde Microsoft demuestra que está pensando en serio en los administradores de sistemas. La carpeta incluye varios scripts de PowerShell listos para usar, divididos entre la Fase 1 (detección y supervisión) y la Fase 2 (despliegue de certificados):
Detect-SecureBootCertUpdateStatus.ps1: recopila datos de estado del dispositivoAggregate-SecureBootData.ps1: genera informes y paneles de controlDeploy-GPO-SecureBootCollection.ps1: automatiza la creación de GPO para recopilar datosStart-SecureBootRolloutOrchestrator.ps1: orquestación continua con despliegue automatizadoDeploy-OrchestratorTask.ps1: implementa el orquestador como tarea programadaGet-SecureBootRolloutStatus.ps1: visualiza el estado del despliegue desde cualquier equipoEnable-SecureBootUpdateTask.ps1: habilita la tarea de actualización
Para entornos corporativos esto es oro. Antes había que improvisar con políticas de grupo o esperar a las soluciones de terceros. Ahora los equipos de IT tienen plantillas oficiales que automatizan el seguimiento del estado del certificado en toda una flota de equipos.
Por qué Microsoft tiene tanta prisa con esto
El asunto de fondo no es menor. A principios de 2024, Microsoft anunció que tocaba renovar las claves de arranque seguro porque las actuales cumplen 15 años en 2026 y caducan ese mismo año. Si no se actualizan, hablamos de equipos modernos que podrían dejar de arrancar correctamente, además de quedar expuestos a bootkits y otro malware de bajo nivel.
Los nuevos certificados de 2023 se han ido implementando a través de las últimas actualizaciones de Windows 11, y por eso vimos esos múltiples reinicios que tantas dudas generaron en su momento. No era un fallo: era el sistema aplicando los certificados nuevos por etapas. Ya lo vimos cuando Microsoft activó la KB5089549 en la Media Creation Tool para facilitar instalaciones limpias.
Y para el usuario doméstico, ¿qué cambia?
Si no eres administrador de sistemas, estos scripts no te afectan directamente. Pero sí hay algo útil que conviene saber: Microsoft añadió hace unas semanas un indicador dentro de la app Seguridad de Windows que avisa si tu equipo tiene los certificados actualizados o no. Recomiendo echarle un vistazo, sobre todo si tu PC tiene ya unos años y no recuerdas haber visto esos reinicios extra de los que hablábamos antes.
El movimiento de Microsoft con esta carpeta es bienvenido, aunque llega tarde y con tropezones. La KB5089549 sigue arrastrando problemas de instalación y una vulnerabilidad llamada MiniPlasma que permite tomar el control del sistema mediante un hack del registro. Centralizar los scripts en una ubicación oficial era necesario, pero no soluciona el caos general del Patch Tuesday de este mes.
Habrá que ver si Microsoft acompaña esta mejora con un parche fuera de banda que arregle de una vez los fallos de instalación. Mientras tanto, los admins ya tienen algo con lo que trabajar, y los usuarios domésticos pueden ir comprobando si su equipo está al día con los certificados antes de que llegue la caducidad de 2026.