Investigadores Revelan Vulnerabilidad Crítica en Cargadores UEFI de Microsoft Durante Décadas

by Editor de Tecnologia
El alcance de la vulnerabilidad en los shims UEFI

Investigadores de ESET han descubierto 11 cargadores de arranque UEFI antiguos, firmados por Microsoft, que permiten omitir el arranque seguro (Secure Boot) en la mayoría de los sistemas. La vulnerabilidad, reportada en febrero de 2026 y corregida en junio, permite a atacantes ejecutar código no confiable y desplegar malware persistente al inicio del sistema.

Durante más de una década, una serie de aplicaciones UEFI (Unified Extensible Firmware Interface) firmadas por Microsoft han mantenido una vulnerabilidad crítica que permite a cualquier atacante omitir el mecanismo de arranque seguro, o Secure Boot. El hallazgo, realizado por investigadores de ESET, revela que 11 cargadores de arranque antiguos —conocidos como shims— fueron utilizados para eludir protecciones de seguridad fundamentales, permitiendo la ejecución de código malicioso incluso antes de que el sistema operativo se cargue.

El alcance de la vulnerabilidad en los shims UEFI

El problema reside en versiones antiguas del cargador de arranque shim, específicamente la 0.9 y anteriores. Estos componentes actúan como un puente entre el firmware de la placa base y el sistema operativo, permitiendo que distribuciones de Linux arranquen cuando el Secure Boot está activo. Al estar firmados por la autoridad de certificación (CA) de Microsoft, el firmware de las computadoras confía en ellos automáticamente.

El alcance de la vulnerabilidad en los shims UEFI
Photo: WeLiveSecurity

La técnica de ataque: Bring Your Own Vulnerable Driver

Los atacantes pueden emplear la técnica conocida como bring your own vulnerable driver (BYOVD), introduciendo su propia copia de un shim vulnerable en cualquier sistema que confíe en el certificado de Microsoft. Esto permite evadir mecanismos de seguridad modernos, como la lista de denegación de MOK (Machine Owner Key) y el sistema SBAT (Secure Boot Advanced Targeting), diseñados precisamente para bloquear componentes de arranque comprometidos.

leer más  Estándares de sentadillas para mujeres de 50 años: guía y mejora

Entre los productos afectados por estos cargadores de arranque se encuentran herramientas de diagnóstico de PC, diversas distribuciones de Linux y software de gestión, según reportó Ars Technica.

  • RedHat Enterprise Linux (7.2)
  • CentOS (7.2)
  • OracleLinux (7.2)
  • OpenSuse UEFI Shim loader (0.9)
  • PC-Doctor Service Center (versiones 15 y 16)

Críticas al modelo de seguridad de Microsoft

El hallazgo ha provocado un debate sobre la sostenibilidad del modelo de confianza de Microsoft en el ecosistema UEFI. HD Moore, experto en seguridad de firmware y CEO y fundador de runZero, calificó el descubrimiento como una señal de que el sistema actual requiere una revisión profunda.

¡ALERTA! Nueva Vulnerabilidad Crítica en FortiWeb (CVE-2025-6444)

A pesar de la gravedad, Microsoft ya ha tomado medidas. Los binarios vulnerables fueron revocados mediante una actualización en el Patch Tuesday del 9 de junio de 2026. Los usuarios de Windows han recibido estas protecciones de forma automática a través de Windows Update, mientras que los usuarios de Linux deben consultar el servicio de firmware de proveedores de Linux (LVFS) para verificar el estado de sus sistemas.

El vencimiento de los certificados de 2011

Este incidente ocurre en un contexto de transición crítica para la infraestructura de seguridad de las PC. Los certificados originales de Secure Boot, emitidos en 2011, alcanzaron su fecha de vencimiento a finales de junio de 2026, siendo reemplazados por los certificados de 2023. Según Windows Latest, ignorar este proceso de actualización no impedirá que las computadoras funcionen, pero dejará los dispositivos vulnerables al cesar la recepción de listas de revocación críticas (DBX).

El vencimiento de los certificados de 2011
Photo: Arstechnica

Los expertos recomiendan a los usuarios verificar el estado de su Secure Boot a través de la aplicación Seguridad de Windows en Windows 11, donde un indicador verde confirma que las actualizaciones necesarias han sido aplicadas correctamente. Para aquellos equipos que no admiten actualizaciones automáticas, la responsabilidad recae en la disponibilidad de parches de firmware por parte de los fabricantes de placas base.

leer más  Asus ROG Ally: Oferta en Amazon y alternativa a Steam Deck

Find more reporting in our Tecnología section.

También te puede interesar

You may also like

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.