Windows enfrenta una nueva amenaza tras la demostración de un método para bloquear archivos

La seguridad en entornos Windows ha dado un giro inesperado tras el descubrimiento de una técnica que, sin necesidad de cifrar un solo byte, es capaz de paralizar por completo el flujo de trabajo de una organización o de un usuario doméstico. Se trata de GhostLock, una prueba de concepto (PoC) que pone en evidencia una vulnerabilidad estructural en la forma en que el sistema operativo de Microsoft gestiona el acceso concurrente a los datos. A diferencia del ransomware tradicional, que altera el contenido de los archivos para exigir un rescate, GhostLock opta por el sabotaje mediante el bloqueo administrativo, aprovechando las propias reglas de cortesía del sistema para denegar el acceso a la información.

Como ha señalado en diversas ocasiones Eugene Kaspersky al analizar la evolución de las amenazas: «El malware más peligroso no es siempre el que destruye, sino el que utiliza la lógica del sistema en contra del propio usuario». GhostLock encarna esta premisa a la perfección, utilizando funciones diseñadas para la estabilidad del software con el fin de generar un estado de denegación de servicio local o en red que resulta, por diseño, extremadamente difícil de detectar por las soluciones de seguridad convencionales.


-Explotando la API CreateFileW

zenEl corazón de esta amenaza reside en la manipulación de la interfaz de programación de aplicaciones (API) de Windows, específicamente en la función CreateFileW(). Esta herramienta es utilizada de forma legítima por prácticamente cualquier programa para abrir o crear archivos. Sin embargo, el investigador de seguridad de Zenodo que ha documentado el hallazgo descubrió que el secreto del ataque reside en un parámetro técnico denominado dwShareMode.

En condiciones normales, este parámetro define si otros procesos pueden leer o escribir en un archivo mientras está abierto. GhostLock configura este valor en 0, lo que indica a Windows que el proceso actual requiere un acceso exclusivo absoluto. Al mantener los identificadores (handles) activos, el sistema operativo impide que cualquier otro usuario, aplicación o servicio abra el archivo, devolviendo un error de acceso denegado. Lo más preocupante desde el punto de vista técnico es que esta acción no requiere privilegios de administrador; un usuario estándar sin permisos elevados puede ejecutar el script y bloquear archivos críticos del sistema o de la red, lo que eleva significativamente el vector de riesgo en entornos corporativos.


-Ataques de interrupción frente a la destrucción de datos

Es vital diferenciar esta técnica de los ataques destructivos tradicionales. Según declaraciones recogidas por medios especializados como Bleeping Computer, GhostLock no altera el código ni el contenido de la información. No es un ransomware que busca corromper archivos, sino un ataque de interrupción. Su objetivo es el caos operativo: impedir que una base de datos se inicie, que un servidor de archivos SMB entregue documentos a los empleados o que un proyecto colaborativo pueda ser guardado.

Este tipo de sabotaje puede ser el preludio de actividades más sofisticadas. Un atacante podría utilizar el bloqueo de GhostLock para forzar a los administradores a desactivar ciertas protecciones, realizar movimientos laterales en la red mientras el equipo de IT está distraído con los errores de acceso, o incluso exfiltrar datos mientras mantiene los originales «secuestrados» por el sistema operativo. Al generar miles de solicitudes que parecen legítimas ante los ojos de un antivirus, la herramienta logra mimetizarse con el tráfico normal del sistema, pasando inadvertida para la mayoría de los sistemas de detección y respuesta de puntos finales (EDR).


-Impacto en infraestructuras críticas y usuarios domésticos

El alcance de GhostLock se extiende de manera alarmante a los recursos compartidos mediante el protocolo SMB (Server Message Block). En una oficina moderna, donde los servidores almacenan la propiedad intelectual y los documentos de trabajo diario, un ataque coordinado con esta técnica podría congelar la actividad de cientos de terminales simultáneamente. Desde bases de datos que dejan de responder hasta servidores de correo que no pueden acceder a sus almacenes de datos, las implicaciones para la continuidad del negocio son severas.

Para el usuario doméstico, el síntoma es una frustración constante: documentos que no abren, errores de «archivo en uso por otro programa» que no desaparecen tras reiniciar aplicaciones y una sensación de pérdida de control sobre el propio hardware. Aunque por ahora GhostLock permanece como una demostración técnica disponible en GitHub para su estudio, su existencia obliga a replantear las estrategias de defensa. La recomendación de los expertos sigue siendo la misma: mantener el sistema operativo actualizado a las últimas versiones de seguridad, limitar los permisos de escritura en carpetas compartidas y utilizar herramientas de monitorización que detecten patrones anómalos en el uso de las APIs de Windows.