Un nuevo exploit descubierto recientemente permite abrir discos protegidos con BitLocker en sistemas Windows utilizando únicamente algunos archivos copiados en un dispositivo USB. Este hallazgo implica un fallo de seguridad significativo ya que BitLocker es una de las herramientas más utilizadas para cifrar datos en ordenadores personales, empresariales y servidores.
El exploit, bautizado como YellowKey, fue desarrollado por el investigador de seguridad conocido como Chaotic Eclipse. Su funcionamiento es alarmantemente sencillo: basta con copiar una carpeta específica llamada «FsTx» dentro de la ruta «System Volume Information» del USB y luego reiniciar el sistema en el entorno de recuperación de Windows manteniendo pulsada la tecla Control. Esto permite obtener acceso directo a la unidad cifrada sin necesidad de introducir ninguna contraseña o clave de recuperación.
BitLocker bajo la lupa: ¿cómo funciona el exploit?
BitLocker cifra las unidades con la protección del módulo TPM del ordenador para proteger los datos en caso de robo o acceso no autorizado. Sin embargo, el exploit YellowKey actúa desde el entorno de recuperación, un modo que Windows utiliza para tareas de reparación y diagnóstico.
Esta técnica aprovecha una aparente puerta trasera que permite, tras copiar los archivos en el USB, acceder a una consola de comandos con privilegios elevados sobre la unidad cifrada, saltándose toda la seguridad del cifrado. Además, los archivos utilizados para el ataque desaparecen tras su uso, complicando la detección del exploit.
Según las pruebas realizadas, la vulnerabilidad afecta a Windows 11 así como a Windows Server 2022 y 2025, pero no a Windows 10. Aunque el cifrado BitLocker funciona con claves almacenadas en el TPM, el uso de configuraciones avanzadas como TPM combinado con PIN no impide el ataque, dado que el investigador indica que dispone incluso de variantes para estos casos.
GreenPlasma: otro exploit que eleva privilegios en Windows
Junto a YellowKey, el mismo investigador ha revelado otro exploit denominado GreenPlasma que también afecta a la seguridad de Windows. Aunque no dispone de un demostrador completo, GreenPlasma permitiría una escalada de privilegios local, obteniendo acceso al sistema con permisos superiores incluso a los de administrador.
Este ataque logra manipular el proceso CTFMon para insertar objetos de memoria con permisos de escritura en áreas protegidas del sistema operativo, lo que podría permitir ejecutar código arbitrario y comprometer servidores y estaciones de trabajo, poniendo en riesgo la integridad de datos y sistemas críticos.
Implicaciones para la seguridad y respuesta de Microsoft
Estos exploits demuestran que BitLocker, un sistema clave para la protección de datos en Windows, puede ser vulnerado de forma preocupante. La facilidad de acceso vía USB y la invisibilidad de los archivos utilizados para el ataque plantean dudas sobre la confianza que se debe depositar en esta herramienta para proteger información sensible.
A día de hoy, Microsoft no ha emitido respuestas oficiales sobre YellowKey ni GreenPlasma. Se desconoce cuándo o si lanzarán parches que corrijan estas vulnerabilidades. El caso se suma a otros exploits recientes de gran impacto que también han sido revelados por el mismo investigador.
Esta situación pone en evidencia la fragilidad frente a ataques físicos y la posible necesidad de adoptar medidas complementarias, como un cifrado más robusto, seguridad adicional en el entorno de recuperación o controles más estrictos sobre el acceso a USBs. La velocidad y eficacia con que Microsoft responda a estas amenazas serán decisivas para mantener la confianza en la protección de datos en Windows.
