Imagina que estás construyendo una torre de jenga y de repente tienes que quitar todos los bloques más bajos. Los centros de datos de todo el mundo se enfrentarán a este dilema debido a una nueva política de Microsoft.
A partir de la actualización de Windows de abril de 2026, Microsoft eliminará la confianza por defecto para todos los controladores del kernel firmados bajo su programa raíz de firma cruzada obsoleto. Esto afectará a Windows 11 24H2, 25H2, 26H1 y Windows Server 2025. Todas las versiones futuras de Windows seguirán la misma política.
Si utiliza servidores con controladores que no han pasado por el Programa de compatibilidad de hardware de Windows (WHCP) de Microsoft, tiene un problema. Para complicar más las cosas, suelen ser servidores antiguos la base de todas las operaciones del centro de datos.
Qué ha cambiado Microsoft en realidad y por qué es importante a nivel de kernel
Este cambio se puso en marcha por primera vez en 2021, cuando Microsoft eliminó el programa de firma cruzada. Cuando está activo, permite a los fabricantes de hardware autenticar sus controladores sin pasar por el proceso de certificación de Microsoft.
El mecanismo es el siguiente: los proveedores firmaban sus controladores utilizando certificados de autoridades de certificación de terceros, que luego Microsoft refrendaba. Esas refrendaciones son las que establecen la confianza en el núcleo de Windows.
Los certificados caducaban cuando la función quedaba obsoleta, pero Windows seguía confiando en los controladores. Esta filosofía de compatibilidad con versiones anteriores garantizaba que Microsoft no tiraría de la manta bajo millones de sistemas instalados.
Al menos hasta el final del periodo de gracia. Eso es en abril de 2026 .
Los controladores del kernel no son software de aplicación ordinario. Se ejecutan en el Anillo 0: el nivel de ejecución más privilegiado del sistema operativo.
Un controlador del kernel tiene un control casi total sobre la memoria, la E/S y el hardware. Cuando algo va mal en el nivel del kernel, no sólo genera un registro de errores. Falla la máquina, corrompe los datos o compromete silenciosamente todos los controles de seguridad situados por encima de él en la pila.
El vector de ataque se denomina Bring Your Own Vulnerable Driver (BYOVD). La mecánica es sencilla: los atacantes cargan un controlador legítimamente firmado pero vulnerable, a menudo desde software de monitorización de hardware heredado, utilidades de gestión de disco o periféricos de juegos. Luego lo explotan para desactivar las herramientas de detección de puntos finales, escalar privilegios y moverse lateralmente antes de que nadie se dé cuenta. Como el controlador está firmado, la mayoría de las listas de permisos y motores antivirus lo consideran código fiable.
La investigación de Nextgen Software estima que aproximadamente 25% de los ataques de ransomware en 2024 incorporaron técnicas BYOVD específicamente para desactivar los sistemas EDR antes del cifrado. El proyecto LOLDrivers ha catalogado más de 900 controladores de 64 bits firmados que ya se sabe que son explotables. Su antiguo controlador de almacenamiento podría estar en esa lista. Es casi seguro que su controlador de firmware BMC no ha sido auditado con respecto a ella.
La medida de Microsoft no elimina por completo BYOVD. Pero cierra la superficie de ataque más obvia: toda la clase de controladores con firma cruzada que nunca se sometieron a los requisitos de validación de WHCP.
El problema del hardware heredado del que nadie quiere hablar
Los servidores con más probabilidades de tener controladores no WHCP no son los que actualizaste en 2024. Son aquellos de los que te olvidaste. Podría ser
- Integración de controles industriales
- Controladores de almacenamiento en hardware antiguo con firmware especializado
- Módulos de seguridad de hardware con controladores de kernel propietarios del proveedor.
- Controladores de interfaz de red para tarjetas 10GbE que no han tenido una versión de firmware desde 2019
- Agentes de gestión del hipervisor que se instalaron una vez y no se volvieron a tocar.
Ninguno de ellos aparece en un inventario de activos estándar como ‘riesgo para la seguridad’. Aparecen como ‘infraestructura en funcionamiento’. Al menos hasta la fecha límite de Microsoft.
Microsoft está desplegando la política primero en modo de evaluación. El núcleo de Windows supervisa y audita las cargas de controladores durante al menos 100 horas en un mínimo de tres reinicios del sistema antes de activar la aplicación. Si todos los controladores cargados durante ese periodo superan la nueva política de confianza, se activa la aplicación.
Si algún controlador con firma cruzada no supera la comprobación, el sistema permanece en modo de evaluación y reinicia el contador. Se trata de una válvula de seguridad deliberada, pero también significa que las organizaciones que ejecutan controladores heredados problemáticos podrían permanecer en un estado semiaplicado perpetuo. Eso no es lo mismo que estar protegido.
| Factor de riesgo del conductor | Qué significa para su infraestructura |
| Certificado con firma cruzada | El conductor nunca fue validado por WHCP; la confianza se revoca en la actualización de abril de 2026. |
| Fecha de firma anterior a 2015 | El certificado es anterior a los requisitos modernos de WHCP; mayor probabilidad de que no haya un sustituto certificado |
| El vendedor ya no está activo | No se emitirá ningún reemplazo de WHCP; el hardware puede quedar permanentemente dañado tras la actualización. |
| Hardware >5 años | Es probable que los controladores no hayan sido reenviados a WHCP; compruebe el proyecto LOLDrivers en busca de CVE conocidas |
| Sin actualización de controladores desde 2021 | El proveedor dejó de realizar el mantenimiento antes de que WHCP se convirtiera en la ruta obligatoria; se desconoce la disponibilidad del sustituto. |
Las categorías de hardware más expuestas son:
- Servidores con controladores de almacenamiento especializados
- Sistemas con BMC propietario o controladores de gestión fuera de banda
- Cualquier equipo de proveedores que quebraron o discontinuaron líneas de productos antes de que WHCP se convirtiera en el camino obligatorio.
Si el ciclo de renovación de su infraestructura dura más de cinco años, que es lo más probable, es casi seguro que tenga un sistema afectado. Debe determinar cuántos sistemas están afectados. O lo averigua ahora o se enterará por las malas de una interrupción prolongada.
Qué certifica y qué no certifica realmente la WHCP
Para obtener la firma de un controlador a través del Programa de compatibilidad de hardware de Windows, el proveedor debe enviar el controlador a través del portal del Centro de desarrollo de hardware de Microsoft. A continuación, debe superar las pruebas de compatibilidad y fiabilidad y cumplir los requisitos actuales de integridad del código. Microsoft controla las claves de firma. El proveedor nunca maneja directamente la clave privada.
Uno de los problemas persistentes con los controladores de firma cruzada era la gestión de claves: los proveedores tenían sus propias claves privadas, y el robo de claves hacía que se utilizaran certificados legítimos para firmar controladores maliciosos. El bootkit BlackLotus de 2023 utilizó un antiguo certificado de firma cruzada para establecer la persistencia a nivel de kernel en sistemas empresariales. El equipo de seguridad de Microsoft documentó 47 ataques distintos aprovechando certificados con firma cruzada entre 2020 y 2025, cada uno de los cuales requirió parches de emergencia y revocaciones de certificados a posteriori.
WHCP elimina esa superficie de ataque centralizando la custodia de claves. También obliga a los controladores a pasar por un proceso de validación que comprueba los requisitos actuales de Windows en lugar de los que existían cuando se escribió el controlador por primera vez.
Esto es lo que WHCP no certifica: el hardware subyacente. Un controlador firmado por WHCP para un servidor de hace cinco años significa que el controlador ha superado los requisitos de certificación actuales de Microsoft. No significa que el servidor sea actual, seguro o apropiado para su infraestructura.
El controlador es sólo la capa de software. El hardware tiene su propio ciclo de vida, sus propias vulnerabilidades de firmware y su propio calendario de fin de soporte.
Algunas organizaciones tratarán WHCP conformidad como una casilla de verificación que mantiene el hardware heredado en servicio indefinidamente. La realidad es que es sólo una capa de la pila de seguridad. El hardware que se ejecuta bajo ese controlador sigue necesitando parches, acumula CVE conocidas y ejecuta firmware que no ha visto una actualización desde que el equipo de ingenieros del proveedor se marchó.
La decisión de la renovación: Cómo son las matemáticas en realidad
El hardware heredado no sólo conlleva riesgos de seguridad. Conlleva un coste que la mayoría de los equipos financieros no están contabilizando correctamente.
Los contratos de asistencia ampliada de proveedores para servidores que han superado su ciclo de vida estándar suelen suponer entre el 15 y el 20% del coste original del hardware al año. A esto hay que añadir los gastos generales de energía y refrigeración que genera un hardware antiguo y menos eficiente en comparación con los equipos de última generación. Un Dell PowerEdge R730 tirando de 400 W continuos frente a un R760 de la generación actual que ejecuta la misma carga de trabajo a 280 W es una partida real en la factura de la luz. Y se agrava en todos los servidores de la misma cohorte.
Luego está el coste de los incidentes. Una sola interrupción no planificada causada por una incompatibilidad de controladores cuesta más en horas de ingeniería, interrupción de la actividad empresarial y adquisición acelerada de hardware que lo que la mayoría de las organizaciones presupuestan para una actualización planificada. La diferencia está en quién controla los plazos.
Los servidores más expuestos al cambio de confianza del kernel de Microsoft de abril de 2026 son también los que tienen más probabilidades de haber sobrepasado su punto óptimo de actualización en todas las demás dimensiones.
El hardware que no se ha renovado en cinco o más años probablemente se compró antes de que WHCP se convirtiera en el estándar obligatorio, ejecuta controladores que no se han actualizado desde que se cerró la ventana de soporte del proveedor y arrastra una deuda técnica acumulada en múltiples frentes.
Esta es la pregunta clave: ¿es factible mantener este hardware en funcionamiento y qué se puede hacer ahora que abril de 2026 ya está aquí?
Qué hacer con la actualización de abril de Microsoft
El modo de evaluación de Microsoft te ofrece una ventana. Asegúrate de usarla.
El primer paso es el inventario de controladores. Olvídese del software y las redes: tiene que evaluar los controladores del núcleo en producción. Cada servidor de su flota necesita ser auditado en busca de controladores que encadenen con certificados de firma cruzada.
Las herramientas integradas de Microsoft pueden sacar esto a la luz: los registros de eventos del kernel de Windows marcarán los controladores afectados durante el modo de evaluación. También puede ejecutar sigcheck de Sysinternals en su directorio de controladores para identificar la información de la cadena de certificados antes de que la actualización llegue a sus sistemas.
Compare su lista de controladores con dos fuentes: el proyecto LOLDrivers (loldrivers.io), que mantiene una base de datos comunitaria de controladores vulnerables conocidos, y la propia lista de controladores vulnerables de Microsoft, que se actualiza a través de Windows Defender. Si un controlador de su sistema aparece en cualquiera de estas listas, es una superficie de ataque activa en este momento. Se trata de un problema independiente de la actualización de abril.
Para los conductores que no superen la comprobación WHCP y no dispongan de un sustituto certificado, existen tres posibilidades:
- Implemente políticas de control de aplicaciones para empresas con la autoridad de arranque seguro de UEFI para permitir el controlador específico como una excepción explícita.
- Aislar el hardware afectado de los segmentos de red en los que el movimiento lateral podría tener consecuencias.
- Desmantelar el hardware y recuperar el valor residual del activo antes de que siga depreciándose.
La vía de excepción no es una solución permanente. Microsoft ha sido explícito: cada versión futura de Windows aplicará el modelo de confianza WHCP-first. Las excepciones de lista permitida que existen hoy en día son un puente de compatibilidad, no una postura soportada a largo plazo. Las organizaciones que mantienen el hardware heredado funcionando mediante excepciones manuales están gestionando una cuenta atrás, no resolviendo un problema.
La vía del desmantelamiento es la única que cierra la exposición de forma permanente. Dependiendo de la antigüedad y la configuración del hardware, el desmantelamiento ofrece una vía directa a los ingresos en lugar de a los costes.
Conclusión
La actualización de Microsoft de abril de 2026 no creó un nuevo problema. Ha puesto fecha límite a uno que ya existía. Si tiene servidores heredados en su infraestructura con controladores que no son WHCP, ese plazo es ahora.
Esos servidores tenían que salir de producción en algún momento, así que este plazo también puede servir de lección. Todo lo que entra en tu centro de datos necesita un calendario de salida. El hardware que se instala y se olvida es cosa del pasado.
Spanish 
English 
German 
French 
Swedish 
Dutch