Un investigador anónimo que firma como Chaotic Eclipse / Nightmare-Eclipse ha vuelto a sacudir el ecosistema Windows con dos nuevos zero-days —bautizados por él como YellowKey y GreenPlasma— que apuntan a la superficie de ataque física y a la lógica de privilegios del sistema operativo. Aunque los detalles técnicos todavía están siendo analizados y Microsoft no ha publicado un advisory público que abarque estas fallas, la descripción del investigador y las reproducciones independientes señalan problemas serios en el funcionamiento de WinRE (Windows Recovery Environment) y en el subsistema CTFMON, respectivamente, que merecen atención inmediata por parte de administradores y usuarios avanzados.
YellowKey, según el investigador, permite saltarse BitLocker cuando el equipo arranca en WinRE tras insertar una unidad USB que contiene ficheros especialmente manipulados en una carpeta \System Volume Information\FsTx. La explotación descrita exige reiniciar en WinRE con el USB conectado y, con una secuencia concreta (por ejemplo manteniendo CTRL para forzar un shell), se obtiene un prompt de cmd.exe con la unidad cifrada ya accesible. Investigadores independientes han replicado el vector y apuntan a un comportamiento anómalo de operativas tipo Transactional NTFS que permiten que datos en una unidad afecten el contenido de otra, lo que no sólo daña la confidencialidad de BitLocker sino que también expone una clase de corrupción entre volúmenes que merece un análisis profundo.
GreenPlasma se sitúa en otro flanco: una elevación de privilegios asociada a la creación arbitraria de secciones de memoria por parte de CTFMON, el componente histórico que gestiona la entrada de texto y servicios de idioma en Windows. Aunque el PoC publicado por el investigador está incompleto y no logra entregar por sí solo un shell SYSTEM final, el vector descrito permitiría que un usuario sin privilegios cree objetos en rutas que deberían estar limitadas a procesos de alto privilegio, lo que puede facilitar manipulaciones de servicios o drivers que confían implícitamente en esas rutas.
Estas revelaciones no llegan en vacío: el mismo investigador había publicado el mes pasado tres zero-days que afectaban a Microsoft Defender (BlueHammer, RedSun y UnDefend), y que, según él, no fueron gestionadas a su satisfacción por parte de Microsoft. La situación ha escalado hasta convertir la divulgación en presión pública; Microsoft reafirma que apoya la coordinación en la divulgación y que investiga reportes a través de su centro de respuesta de seguridad (Microsoft Security Response Center), pero la dinámica entre investigadores y proveedores es ahora uno de los factores que condiciona la velocidad y la transparencia de los parches.
En paralelo, reportes publicados por la firma francesa Intrinsec retomaron una técnica diferente de bypass a BitLocker que aprovecha una regresión en el gestor de arranque (boot manager) y la verificación de imágenes WinRE para cargar un WIM controlado por el atacante. Esa técnica, vinculada al CVE referenciado públicamente como CVE‑2025‑48804, muestra que la cadena de confianza de arranque puede fallar si una versión vulnerable de bootmgfw.efi firmada por un certificado todavía confiable (PCA 2011) puede ser cargada; la mitigación estratégica para este problema pasa por migrar a certificados más recientes (CA 2023) y revocar los antiguos, además de mantener Secure Boot y firmware actualizados. Más contexto sobre BitLocker y prácticas recomendadas están disponibles en la documentación oficial de Microsoft (BitLocker - Microsoft Learn) y en bases de datos públicas de vulnerabilidades como NVD (CVE-2025-48804).
¿Qué significa esto para empresas y usuarios? Primero, es crucial entender el vector: muchas de estas técnicas requieren acceso físico al equipo (inserción de USB, manipulación de particiones EFI, arranque desde medios externos). Ese requisito no las hace triviales, pero sí las hace muy peligrosas en entornos donde el control de acceso físico es débil (oficinas compartidas, salas de aula, dispositivos en tránsito). Segundo, la existencia de fallas en WinRE y en el subsistema de manejo de memoria implica que defenderse solo con políticas de software no es suficiente; se necesitan controles de arranque, firmware y procesos de respuesta.
Acciones concretas y prioritarias que deberían considerar administradores y usuarios avanzados incluyen: aplicar todas las actualizaciones de Windows y firmware tan pronto como estén disponibles; configurar BitLocker con autenticación prearranque fuerte (por ejemplo TPM+PIN o startup PIN) y evitar confiar exclusivamente en la protección TPM sin PIN —aunque el investigador afirma que su exploit afecta también a TPM+PIN, un PIN al menos aumenta la barrera frente a varios vectores físicos—; forzar la migración del gestor de arranque a certificados actualizados y desplegar revocación de firmas antiguas en entornos gestionados; y minimizar la exposición a medios extraíbles mediante políticas que restrinjan la ejecución automática y registren la inserción de unidades USB. Además, en entornos corporativos conviene desplegar controles como Windows Defender Application Control (WDAC) o AppLocker para limitar la ejecución de binarios no autorizados y reglas de BitLocker que deshabiliten WinRE o limiten sus funciones en equipos críticos.
Desde la detección y respuesta, recomiendo auditar la existencia de directorios \System Volume Information\FsTx en volúmenes extraíbles y revisar logs de arranque y de WinRE para eventos inusuales; también es prudente que los equipos de endpoint monitoricen la creación de secciones de memoria y la manipulación de objetos de directorio por procesos con bajo privilegio. Para organizaciones más serias, la segregación física de dispositivos críticos y el uso de medidas como gestores de arranque firmados por hardware o prevención de arranque desde medios externos a través de UEFI/firmware son inversiones razonables.
Finalmente, esta serie de divulgaciones ilustra dos cosas: por un lado, que la superficie de ataque físico y de recuperación del sistema sigue siendo un vector atractivo y poco comprendido; por otro, que las relaciones entre investigadores y fabricantes determinan en gran medida cómo y cuándo se mitigan los riesgos. Es legítimo exigir mayor transparencia y procesos más ágiles de respuesta, pero también es responsabilidad de administradores y usuarios aplicar las medidas disponibles hoy para reducir la ventana de exposición. Mantener parches, endurecer prearranque y controlar el acceso físico son, por ahora, las defensas más efectivas frente a amenazas como YellowKey y GreenPlasma.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...