Una amenaza de ciberseguridad herramienta de prueba de concepto (PoC) recientemente publicada, llamada BitUnlocker, demuestra un peligroso ataque de degradación que puede eludir el cifrado de disco completo BitLocker de Microsoft en dispositivos con Windows 11.
¿Cuál es la amenaza?
BitUnlocker explota la vulnerabilidad CVE‑2025‑48804 en Windows BitLocker, que permite a los atacantes combinar datos no confiables con componentes de arranque confiables y eludir las protecciones de seguridad mediante acceso físico. La técnica combina una degradación del gestor de arranque con un Entorno de Recuperación de Windows (WinRE) modificado para descifrar silenciosamente las unidades protegidas por BitLocker. Aprovechando la confianza en la cadena de arranque heredada, los atacantes pueden obtener acceso completo a los datos cifrados en menos de cinco minutos sin activar las solicitudes de recuperación.
¿Por qué es digno de mención?
Esta amenaza es relevante porque BitLocker se basa en la validación del TPM para detectar cambios de arranque no autorizados. Sin embargo, en este caso, el gestor de arranque malicioso sigue pareciendo legítimo porque posee una firma de Microsoft de confianza. Esto crea una peligrosa vulnerabilidad, ya que los componentes de arranque antiguos y vulnerables siguen siendo de confianza incluso después de aplicar parches de seguridad.
¿Cuál es la exposición o el riesgo?
La vulnerabilidad afecta a las configuraciones BitLocker solo con TPM y PCR 7+11, que representan las configuraciones predeterminadas más comunes en las empresas, dejando expuesta una amplia gama de portátiles y estaciones de trabajo corporativas. El exploit aprovecha el hecho de que el Arranque Seguro sigue confiando en la cadena de certificados heredada "Windows PCA 2011" en muchos sistemas. Dado que el gestor de arranque permanece correctamente firmado, el TPM trata el proceso de arranque como de confianza y libera automáticamente las claves de descifrado de BitLocker. Como resultado, Windows no muestra una pantalla de recuperación ni una advertencia durante el ataque.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
- Habilitar la autenticación previa al arranque mediante TPM + PIN.
- Migrar a Windows UEFI CA 2023.
- Aplicar el parche de julio de 2025.
- Elimine la partición de recuperación de WinRE.
- Verifique el certificado del administrador de arranque activo.
