BitLocker está diseñado para evitar el acceso a los datos almacenados en el disco, incluso si el ordenador termina en las manos equivocadas. En la mayoría de los escenarios puede llegar a ser una gran barrera.
¿Cómo funciona BitLocker?
Cuando un PC con Windows está apagado, o el disco duro está desconectado, toda la unidad permanece encriptada.
En la mayoría de los sistemas Windows modernos, la clave de cifrado está protegida por un pequeño chip de seguridad en la placa base llamado Trusted Platform Module (TPM).
Si todo parece normal, el TPM libera automáticamente la clave de cifrado y BitLocker desbloquea la unidad, lo que permite que Windows se inicie sin problemas.
Este proceso ocurre en segundo plano, por lo que generalmente no se nota.
Por ejemplo, en el caso de un ordenador portátil perdido o robado (apagado) el ladrón o la persona que lo ha encontrado necesitaría la clave de recuperación o un PIN para poder acceder al sistema operativo.
Esta protección basada en hardware es una de las principales razones por las que Microsoft requiere soporte TPM 2.0 para Windows 11.
¿Qué pasó?
Como hemos dicho antes se supone que BitLocker es la primera línea de defensa cuando un dispositivo cae en manos no autorizadas.
Pero por lo visto YellowKey desafía directamente esa suposición.
Para que un villano pueda colarse de resbalón mediante este exploit no hace falta descifrar el algoritmo de cifrado de BitLocker.
La debilidad vive dentro del entorno de recuperación de Windows (WinRE), donde se puede abusar de un componente de confianza para desbloquear el acceso de maneras desconocidas hasta la fecha.
El ataque se basa en archivos especialmente diseñados colocados en un dispositivo USB.
Básicamente:
- Se copia la carpeta personalizada FsTx desde la página de exploits Nightmare-Eclipse a una unidad USB con formato NTFS o FAT.
- Se conecta la unidad USB al dispositivo protegido con BitLocker.
- Se Inicia el dispositivo mediante la memoria USB.
- Mientras se inicia el PC se mantiene presionada la tecla [Ctrl].
- Windows se inicia en Modo de recuperación.
Una vez que el sistema Windows se reinicia en modo de recuperación, el componente WinRE vulnerable analiza la estructura de archivos y abre una interfaz con acceso completo a la unidad protegida por BitLocker.
En un flujo normal de recuperación de Windows, el atacante tendría que introducir una clave de recuperación de BitLocker o un PIN, pero el exploit evita esta salvaguarda.
¿Qué implica esto?
Muchos usuarios piensan que el cifrado del disco por sí solo es suficiente para protegerlo todo.
Pero por lo visto, la seguridad de un ordenador portátil o un PC de sobremesa también depende de cómo se gestiona el acceso físico.
Un dispositivo que se olvida en el coche, la oficina o en un lugar público puede quedar expuesto a intentos de acceso que el cifrado por sí solo no siempre puede neutralizar.
Si utilizas un portátil con Windows 11 con BitLocker activo, puedes tomar algunas medidas adicionales
Si un atacante o un ladrón pueden sostener el dispositivo en la mano, quitar componentes o manipular la secuencia de arranque, la protección debe reforzarse con medidas extra.
- No dejes el dispositivo desatendido en lugares públicos. Podrían robártelo.
- Evalúa el uso de un PIN previo al arranque cuando sea posible.
- Actualiza el sistema y el firmware para reducir el riesgo de vulnerabilidades conocidas.
- Protege la BIOS/UEFI con contraseña.
Cómo interpretar correctamente el riesgo
No debemos entrar en pánico. Perpetrar este ataque requiere que se cumplan unas condiciones precisas, habilidades y sobre todo acceso físico al dispositivo.
Esto limita en gran medida su alcance.
Pero no hay que olvidar que un ordenador portátil perdido o robado puede contener documentos importantes, fotos de menores y adultos, credenciales almacenadas, datos personales y material confidencial.
Y si lo olvidamos en un bar o nos lo roban podemos tener un problema.
¿BitLocker sigue siendo útil?
YellowKey no elimina la utilidad de BitLocker que continúa siendo una herramienta muy importante para proteger los datos en reposo, y sin duda complica seriamente el trabajo de aquellos que desean leer información confidencial sin autorización.
Pero recuerda que la robustez de una plataforma de cifrado depende de toda la cadena de confianza, no solo del motor criptográfico.
Por lo tanto, el cifrado y el endurecimiento del firmware deben combinarse con el control físico del dispositivo.
