Microsoft ha decidido actualizar su política sobre el kernel de Windows, eliminando el soporte efectivo para controladores firmados con certificados caducados. Este cambio modifica cómo el sistema valida drivers, ya que durante años ha permitido ejecutar software bajo esquemas antiguos, algo que ahora se considera un riesgo directo para la seguridad del sistema operativo, especialmente en entornos expuestos.
La modificación supone el fin del modelo de firma cruzada de controladores, utilizado desde principios de los 2000, que permitía ejecutar drivers incluso con certificados expirados. Con este cambio, Microsoft impulsa un modelo basado en certificaciones activas y verificadas, reduciendo la exposición a software no validado y reforzando la protección del kernel frente a código potencialmente inseguro.
WHCP se convierte en el nuevo estándar obligatorio
A partir de ahora, el kernel de Windows solo aceptará controladores firmados mediante el Windows Hardware Compatibility Program (WHCP), lo que garantiza que cada driver cumple con los estándares actuales. Esta medida afecta a versiones como Windows 11 24H2, 25H2 y 26H1, además de Windows Server 2025, marcando un cambio relevante en la validación de software.
El objetivo es establecer un entorno donde todos los controladores pasen por un proceso moderno de certificación. Esto no solo mejora la seguridad, sino que también evita la ejecución de drivers obsoletos que puedan comprometer estabilidad, compatibilidad o rendimiento, especialmente en sistemas con hardware antiguo.
Compatibilidad controlada con controladores antiguos
A pesar de este endurecimiento, Microsoft mantendrá compatibilidad parcial mediante una lista de control de drivers autorizados, lo que permitirá seguir utilizando software ampliamente extendido. Este enfoque evita problemas en dispositivos que dependen de controladores heredados, especialmente en entornos donde la actualización completa no es viable.
Además, el despliegue se realizará de forma progresiva a partir de la actualización de abril de 2026, inicialmente en modo evaluación. Durante esta fase, el sistema monitorizará el comportamiento de los drivers antes de aplicar la política completa, garantizando una transición controlada sin afectar la estabilidad del sistema.
Alternativa para entornos empresariales y drivers personalizados
Para entornos que requieren controladores propios, Microsoft ofrece una alternativa mediante Application Control for Business (WDAC), que permite autorizar software firmado internamente a través de políticas vinculadas a Secure Boot. Este enfoque proporciona un mayor control en infraestructuras empresariales.
Este modelo permite mantener compatibilidad en escenarios específicos sin comprometer la seguridad global. De este modo, Microsoft introduce un sistema que combina seguridad reforzada con flexibilidad operativa, algo clave en organizaciones que dependen de software personalizado o entornos controlados.
Un cambio estructural en el ecosistema Windows
Con esta decisión, Microsoft redefine la gestión de controladores en Windows, estableciendo el WHCP como estándar obligatorio a largo plazo. Este cambio refleja una evolución hacia un ecosistema más controlado, donde la seguridad del kernel tiene prioridad sobre la compatibilidad total con software antiguo.
Aunque el impacto inicial será progresivo, a medio plazo obligará a fabricantes y desarrolladores a adaptarse a nuevos requisitos. El resultado será un entorno más seguro, pero también más exigente, donde la validación de software será un elemento clave en la estabilidad del sistema.
Vía: TechPowerUp
