Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto se filtrara públicamente y rompiera el proceso de divulgación coordinada. La falla, con una puntuación CVSS de 6.8, permite a un atacante con acceso físico utilizar archivos especialmente manipulados ("FsTx") en una unidad USB o en la partición EFI, reiniciar la máquina en el Entorno de Recuperación de Windows (WinRE) y provocar la ejecución de una utilidad que, según el investigador, abre una shell con acceso irrestricto al volumen cifrado por BitLocker.
Es importante subrayar que este ataque requiere acceso físico y la capacidad de forzar el arranque en WinRE desde medios externos, lo que limita parcialmente el radio de amenaza a escenarios de robo de equipos, acceso a salas de servidor o entornos con políticas de arranque laxas. No obstante, la existencia de un PoC público aumenta el riesgo operativo: adversarios con conocimientos técnicos y acceso físico podrán automatizar pruebas de compromiso sin necesidad de investigar la vulnerabilidad desde cero. Para una cobertura técnica adicional y seguimiento periodístico, cubretes como BleepingComputer han documentado la divulgación y la respuesta de Microsoft: BleepingComputer sobre YellowKey.
Microsoft ha descrito una mitigación basada en modificación del WinRE: hay que montar la imagen de WinRE, cargar su hive de registro, eliminar la entrada "autofstx.exe" del valor BootExecute de Session Manager, guardar y descargar la hive, y volver a comprometer la imagen en el dispositivo. Con esto se evita que la utilidad FsTx se ejecute automáticamente al arrancar WinRE. Además, la compañía recomienda cambiar los protectores de BitLocker de TPM-only a TPM+PIN, para que el desbloqueo del volumen requiera un PIN en el arranque y no dependa únicamente del módulo TPM. La documentación oficial de BitLocker en Microsoft puede ayudar a planificar estos cambios: Documentación de BitLocker en Microsoft Docs.
Para equipos y administradores, las implicaciones prácticas son dobles: primero, hay que aplicar la mitigación en las imágenes WinRE y desplegarla ampliamente; segundo, hay que revisar políticas de arranque y seguridad física. Cambiar a TPM+PIN reduce drásticamente la eficacia de YellowKey porque incluso con WinRE comprometido el atacante no podrá descifrar la unidad sin conocer el PIN. Microsoft describe opciones para imponer este requisito desde Intune o Políticas de Grupo ("Require additional authentication at startup" y "Configure TPM startup PIN").
No basta solo con mitigaciones a nivel de software: reforzar el control físico y de firmware es crucial. Recomiendo deshabilitar el arranque desde USB cuando no sea necesario, proteger el firmware UEFI/BIOS con contraseña, forzar Secure Boot y registrar quién tiene acceso físico a máquinas críticas. Estas medidas reducen las oportunidades de que un atacante inserte medios manipulados o reinicie servidores para invocar WinRE con medios externos.
En el plano operativo, las organizaciones deberían priorizar la identificación y el parcheo de imágenes WinRE usadas por la flota, integrar comprobaciones en el ciclo de gestión de imágenes y automatizar la modificación propuesta por Microsoft para prevenir errores humanos. También conviene revisar procedimientos de respuesta a incidentes: confirmar la integridad de winpeshl.ini y buscar signos de que utilidades no autorizadas se hayan ejecutado en WinRE. Para guías prácticas de administración de BitLocker y herramientas como manage-bde y PowerShell, la documentación de Microsoft ofrece comandos y ejemplos para cambiar protectores y desplegar políticas de arranque seguro.
Finalmente, balancear la seguridad y la operativa es fundamental. TPM+PIN introduce fricción (recuperación de PIN, soporte del usuario), por lo que hay que preparar soporte y procesos de recuperación (rotación de claves, almacenamiento seguro de información de recuperación). La mitigación técnica debe ir acompañada de concienciación del personal, controles físicos y revisiones periódicas de las imágenes de recuperación para cerrar rápidamente vectores similares en el futuro.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...