# Nueva política de confianza en controladores del kernel de Windows: Eliminación de certificados obsoletos
Microsoft está cambiando su enfoque para verificar los controladores del kernel en Windows. A partir de abril de 2026, el kernel ignorará los controladores firmados a través del programa de contrafirma de certificados raíz introducido a principios de los 2000. El soporte para este programa finalizó en 2021, pero los certificados siguieron siendo de confianza. Ahora, se da prioridad a las firmas del Windows Hardware Compatibility Program (WHCP).
Cambios en el mecanismo de confianza
El kernel de Windows pasará a confiar exclusivamente en los controladores WHCP. Los certificados de contrafirma obsoletos ya no se cargarán por defecto. Para compatibilidad hacia atrás, se mantendrá una lista blanca explícita: los controladores antiguos verificados aún podrán cargarse.
Los cambios afectarán a:
- Windows 11 24H2, 25H2, 26H1;
- Windows Server 2025;
- Todas las futuras versiones de cliente y servidor.
Esto mejorará la seguridad al minimizar riesgos de mecanismos de firma obsoletos, basado en telemetría de miles de millones de dispositivos.
Modo de auditoría y configuración
La nueva política se lanzará en modo de auditoría. El sistema rastreará:
- Tiempo de ejecución con controladores obsoletos;
- Número de cargas;
- Estabilidad general.
Los administradores podrán anular la política mediante AppLocker (anteriormente WDAC). Esto es útil para escenarios empresariales con controladores internos. Microsoft continuará monitoreando la retroalimentación para realizar ajustes.
En entornos empresariales, esto permitirá equilibrar seguridad y compatibilidad con hardware heredado.
Contexto de actualización de seguridad
Estos cambios encajan en una serie de medidas para fortalecer la protección. Previamente, se corrigió una vulnerabilidad crítica de red. Microsoft está avanzando a la segunda etapa de protección de Windows Deployment Services (WDS): bloqueo de la instalación automática de Windows 11 y Server 2025. En el futuro, se espera un abandono completo de los procesos WDS obsoletos en favor de protocolos modernos.
Puntos clave
- Desde abril de 2026: el kernel de Windows confía solo en firmas WHCP, las obsoletas vía lista blanca;
- Modo de auditoría para monitoreo sin bloqueos inmediatos;
- AppLocker para excepciones empresariales;
- Aplica a Windows 11 24H2+ y Server 2025;
- Basado en telemetría para minimizar interrupciones.
Se recomienda a los desarrolladores de controladores que cambien a la certificación WHCP con antelación. Los administradores empresariales deben probar las políticas en modo de auditoría.
— Editorial Team
Aún no hay comentarios.