
Una severa vulnerabilidad bautizada como YellowKey ha demostrado que es posible vulnerar por completo el ecosistema de protección BitLocker de Microsoft. Para perpetrar el ataque, un actor malicioso no requiere de grandes infraestructuras de computación cuántica ni de complejas herramientas de ingeniería social: solo necesita acceso físico al terminal, apagar el equipo e introducir una memoria USB modificada en cualquiera de sus puertos locales.
La gravedad del incidente se ha visto amplificada debido a un desfase crítico en los tiempos de contención. Los detalles técnicos detallados y el código de ejecución de este exploit se filtraron en foros especializados de seguridad antes de que los equipos de desarrollo de Redmond pudieran diseñar e implementar un parche definitivo. Registrada oficialmente bajo el identificador CVE-2026-45585, la brecha de seguridad impacta de forma directa a las variantes más modernas y actualizadas del software de la compañía, abarcando todas las compilaciones comerciales de Windows 11 así como la infraestructura corporativa de Windows Server 2025. Ante la divulgación pública del vector de ataque, la corporación se ha visto forzada a emitir un documento de mitigación de emergencia con directrices estrictas para los administradores de sistemas.
-¿Cómo el entorno WinRE concede acceso total mediante la tecla Control?
El descubrimiento de este fallo estructural corre a cargo del investigador independiente de ciberseguridad conocido bajo el pseudónimo de Chaotic Eclipse. De acuerdo con sus informes técnicos, el problema central no radica en la robustez matemática del algoritmo de cifrado AES que utiliza BitLocker, el cual sigue siendo teóricamente inquebrantable, sino en la confianza ciega que el sistema operativo deposita en sus propias herramientas de diagnóstico durante la fase previa al arranque. Como explicó el propio analista al publicar su prueba de concepto: «El talón de Aquiles de los sistemas de seguridad contemporáneos suele encontrarse en los privilegios heredados; diseñamos entornos de recuperación tan accesibles para mitigar fallos del sistema que terminamos construyendo una llave maestra automatizada para cualquiera que pueda tocar el teclado».
El ataque YellowKey saca partido de esta laxitud en los permisos dentro del Entorno de Recuperación de Windows (conocido técnicamente como WinRE), la interfaz que se inicializa cuando el ordenador experimenta un error de carga crítico. El proceso de intrusión se ejecuta bajo la siguiente secuencia lógica:
- Inyección de archivos FsTx: El atacante introduce una memoria USB que almacena una serie de archivos de configuración manipulados bajo el formato específico FsTx.
- Forzado del arranque alternativo: Al encender el equipo, los controladores de bajo nivel leen el dispositivo externo y fuerzan a la placa base a desviar la secuencia de inicio estándar de Windows hacia el menú de diagnóstico azul de WinRE.
- Secuestro del flujo de ejecución: Justo en el instante de transición hacia la pantalla de recuperación, el atacante ejecuta una pulsación sostenida de la tecla Control. Esta acción confunde la lógica de validación de la interfaz, provocando que el sistema operativo interrumpa sus rutinas de bloqueo y despliegue, en su lugar, una consola de comandos (CMD) con los máximos privilegios posibles dentro del núcleo del sistema. Al estar el disco ya desprecintado por la placa base, el intruso obtiene acceso de lectura y escritura a todos los directorios protegidos.
-El regreso obligatorio del PIN y el abandono del modo TPM puro
Ante la imposibilidad de reescribir de forma inmediata el código fuente de WinRE en todo el parque informático mundial, la guía de urgencia publicada por Microsoft insta a modificar radicalmente la forma en que los ordenadores gestionan la seguridad en el encendido. La recomendación oficial dictamina el abandono inmediato de las configuraciones de BitLocker basadas exclusivamente en el chip físico de la placa base (modo «Solo TPM») para adoptar un esquema de autenticación de doble factor conocido como TPM+PIN.
En el modo tradicional que se utiliza por defecto en la mayoría de los ordenadores modernos, el chip TPM verifica de forma autónoma la integridad del hardware y, si no detecta anomalías, entrega las claves criptográficas para cargar Windows sin que el usuario tenga que intervenir. El problema de YellowKey es que aprovecha precisamente ese instante en que el chip ya ha entregado las llaves pero Windows aún no ha terminado de arrancar.
Al activar la directiva de grupo que exige el binomio TPM+PIN, la arquitectura cambia por completo: el chip de seguridad retendrá las claves de descifrado y se negará a liberar la información del disco duro hasta que el usuario introduzca manualmente un código numérico o alfanumérico en una pantalla negra previa a cualquier interfaz gráfica. Si un atacante intenta utilizar el pendrive modificado bajo esta configuración, la secuencia de comandos de WinRE nunca llegará a cargarse con acceso a los datos, convirtiendo la vulnerabilidad en un callejón sin salida criptográfico.