Investigadores de ESET han descubierto 11 cargadores de arranque UEFI antiguos, firmados por Microsoft, que permiten omitir el arranque seguro (Secure Boot) en la mayoría de los sistemas. La vulnerabilidad, reportada en febrero de 2026 y corregida en junio, permite a atacantes ejecutar código no confiable y desplegar malware persistente al inicio del sistema.
Durante más de una década, una serie de aplicaciones UEFI (Unified Extensible Firmware Interface) firmadas por Microsoft han mantenido una vulnerabilidad crítica que permite a cualquier atacante omitir el mecanismo de arranque seguro, o Secure Boot. El hallazgo, realizado por investigadores de ESET, revela que 11 cargadores de arranque antiguos —conocidos como shims— fueron utilizados para eludir protecciones de seguridad fundamentales, permitiendo la ejecución de código malicioso incluso antes de que el sistema operativo se cargue.
El alcance de la vulnerabilidad en los shims
UEFI
El problema reside en versiones antiguas del cargador de arranque shim, específicamente la 0.9 y anteriores. Estos componentes actúan como un puente entre el firmware de la placa base y el sistema operativo, permitiendo que distribuciones de Linux arranquen cuando el Secure Boot está activo. Al estar firmados por la autoridad de certificación (CA) de Microsoft, el firmware de las computadoras confía en ellos automáticamente.

La técnica de ataque: Bring Your Own Vulnerable Driver
Los atacantes pueden emplear la técnica conocida como bring your own vulnerable driver
(BYOVD), introduciendo su propia copia de un shim vulnerable en cualquier sistema que confíe en el certificado de Microsoft. Esto permite evadir mecanismos de seguridad modernos, como la lista de denegación de MOK (Machine Owner Key) y el sistema SBAT (Secure Boot Advanced Targeting), diseñados precisamente para bloquear componentes de arranque comprometidos.
Entre los productos afectados por estos cargadores de arranque se encuentran herramientas de diagnóstico de PC, diversas distribuciones de Linux y software de gestión, según reportó Ars Technica.
- RedHat Enterprise Linux (7.2)
- CentOS (7.2)
- OracleLinux (7.2)
- OpenSuse UEFI Shim loader (0.9)
- PC-Doctor Service Center (versiones 15 y 16)
Críticas al modelo de seguridad de Microsoft
El hallazgo ha provocado un debate sobre la sostenibilidad del modelo de confianza de Microsoft en el ecosistema UEFI. HD Moore, experto en seguridad de firmware y CEO y fundador de runZero, calificó el descubrimiento como una señal de que el sistema actual requiere una revisión profunda.
A pesar de la gravedad, Microsoft ya ha tomado medidas. Los binarios vulnerables fueron revocados mediante una actualización en el Patch Tuesday
del 9 de junio de 2026. Los usuarios de Windows han recibido estas protecciones de forma automática a través de Windows Update, mientras que los usuarios de Linux deben consultar el servicio de firmware de proveedores de Linux (LVFS) para verificar el estado de sus sistemas.
El vencimiento de los certificados de 2011
Este incidente ocurre en un contexto de transición crítica para la infraestructura de seguridad de las PC. Los certificados originales de Secure Boot, emitidos en 2011, alcanzaron su fecha de vencimiento a finales de junio de 2026, siendo reemplazados por los certificados de 2023. Según Windows Latest, ignorar este proceso de actualización no impedirá que las computadoras funcionen, pero dejará los dispositivos vulnerables al cesar la recepción de listas de revocación críticas (DBX).

Los expertos recomiendan a los usuarios verificar el estado de su Secure Boot
a través de la aplicación Seguridad de Windows en Windows 11, donde un indicador verde confirma que las actualizaciones necesarias han sido aplicadas correctamente. Para aquellos equipos que no admiten actualizaciones automáticas, la responsabilidad recae en la disponibilidad de parches de firmware por parte de los fabricantes de placas base.
Find more reporting in our Tecnología section.
También te puede interesar
