
La compañía tuvo que emparchar de urgencia un agujero crítico en el arranque seguro de Windows que llevaba más de una década activo sin que absolutamente nadie en la industria lo notara. Si esta brecha no se cerraba, cualquier usuario con un equipo moderno quedaba expuesto a que terceros malintencionados pasaran por alto todas las barreras del Secure Boot, tomando el control total de la máquina antes de que siquiera aparezca el logo de carga.
-La trampa del «BYOVB» y la traición de los certificados de 2011
Para entender el desastre técnico que esto implica, hay que mirar de cerca cómo funciona el Secure Boot. Este mecanismo es, en teoría, el patovica de tu computadora: se encarga de verificar que únicamente el software de absoluta confianza se ejecute cuando apretás el botón de encendido. Pero los investigadores de seguridad de la firma ESET se toparon con algo insólito. Descubrieron que había once «bootloaders» (los gestores de arranque) antiquísimos que la base de datos de Microsoft seguía catalogando como cien por ciento seguros y confiables. El drama es que estos archivos arrastran vulnerabilidades gravísimas y archiconocidas desde hace años.
En la arquitectura de nuestras computadoras, existen unos pequeños programas llamados «shims» que funcionan como un puente de comunicación entre el firmware UEFI de la placa madre y el cargador de arranque principal del sistema operativo. Lo más peligroso de este hallazgo es que ni siquiera hace falta que tengas instalado este software obsoleto en tu disco duro para ser víctima de un ataque. Un ciberdelincuente con los conocimientos necesarios puede armar su propia copia de uno de estos «shims» viejos y ejecutarla en tu computadora. Como tu sistema operativo todavía confía ciegamente en el certificado digital que Microsoft emitió allá por el 2011, le abre la puerta sin hacerle una sola pregunta.
Esta técnica de ataque tiene nombre y apellido en el rubro: BYOVB (por sus siglas en inglés, «Trae tu propio bootloader vulnerable»). Funciona a la perfección porque a nivel estructural, el sistema es incapaz de distinguir entre un gestor de arranque legítimo actual y uno totalmente obsoleto, siempre y cuando ambos tengan la firma criptográfica correcta. Sobre la gravedad de esta arquitectura fallida, un vocero del equipo de analistas de ESET fue contundente a la hora de publicar el reporte técnico:
«El problema de mantener cadenas de confianza tan antiguas es que terminás validando herramientas rotas. La técnica BYOVB expone una falla estructural gravísima; no importa si tu sistema operativo cuenta con la máxima seguridad del mercado, si la UEFI sigue confiando en una firma digital emitida hace más de una década, el atacante ya tiene la llave maestra de tu equipo y entra por la puerta grande antes de que las alarmas tengan energía para sonar.»
Además, el riesgo se multiplica en cadena. Estos bootloaders de primera etapa suelen darle el pase a un segundo gestor, que en la enorme mayoría de los casos es el famoso GRUB 2 de los entornos Linux. En las versiones que se explotaban con esta técnica, ese segundo eslabón también estaba plagado de agujeros de seguridad.
-Cuando ni el mejor antivirus te puede salvar
Lo que hace que esta vulnerabilidad sea un caso crítico de estudio es el momento exacto en el que ocurre el ataque. Estamos hablando de una infección que se inyecta en la fase cero del encendido, un instante en el que Windows todavía está durmiendo y ninguna de sus protecciones de software se cargó en la memoria. Si un hacker logra ejecutar su código malicioso en esa fracción de segundo, tiene vía libre para instalar un malware profundo capaz de volverse completamente invisible para el sistema operativo.
No importa si pagás la licencia del antivirus más caro del mercado o si tenés a Windows Defender configurado con la máxima paranoia posible; ninguno de los dos te podría salvar ni eliminar la amenaza, por la simple razón de que el malware ya se acomodó en los cimientos del equipo mucho antes de que los motores de escaneo empiecen a funcionar. Es como intentar apagar un incendio desde el techo cuando el fuego ya te consumió los cimientos.
La respuesta oficial y cómo blindar tu computadora hoy mismo
Desde ESET aclararon que este papelón arquitectónico no es culpa exclusiva del código de Windows 11, sino de la cadena de confianza universal que Microsoft administra para todo el ecosistema del Secure Boot a nivel global. Resulta que los archivos «shims» que desataron este caos provienen originalmente de viejas distribuciones de Linux, utilidades de diagnóstico de hardware y otras herramientas basadas en UEFI, lo que dejaba un abanico gigantesco de posibles vectores de ataque.
Los investigadores le avisaron a Microsoft sobre este descubrimiento de forma privada en febrero de 2026. La empresa de Redmond acusó recibo y procedió a meter en la lista negra a todos estos gestores de arranque vulnerables, revocando por fin su legitimidad en la base de datos de la UEFI.
La solución definitiva a esta pesadilla de seguridad ya está circulando en los canales oficiales. Si venís posponiendo las actualizaciones de tu Windows 11 porque te da fiaca reiniciar la máquina, es hora de que cortes con eso. Tenés que ir urgente a Windows Update y asegurarte de tener instalado el parche acumulativo KB5101650 correspondiente a este mes de julio, o como mínimo el KB5094126 que salió en junio. Ambas compilaciones ya traen el código necesario para limpiar esa vieja lista de confianza y dejar a los ciberdelincuentes afuera de tu sistema de una vez por todas.