YellowKey y GreenPlasma: Dos Zero-Days de Windows atacan BitLocker

YellowKey y GreenPlasma: Dos Zero-Days de Windows atacan BitLocker

Investigadores de seguridad han divulgado públicamente dos vulnerabilidades zero-day no parcheadas en Windows, denominadas YellowKey y GreenPlasma, que apuntan al cifrado BitLocker y al marco de entrada CTFMON respectivamente. El código de exploit de prueba de concepto ya ha sido publicado, lo que significa que la vulnerabilidad zero-day de BitLocker en Windows no es meramente teórica. Para los millones de usuarios y organizaciones que dependen de BitLocker como pilar fundamental de su estrategia de protección de datos, esta divulgación es una seria llamada de atención.

Qué hacen realmente YellowKey y GreenPlasma

YellowKey es la más alarmante de las dos de forma inmediata. Apunta a BitLocker, la función de cifrado de disco completo integrada en Windows 10 y 11, así como en Windows Server 2022 y 2025. Al explotar una debilidad en el Entorno de Recuperación de Windows, la vulnerabilidad permite que un atacante con acceso físico a una máquina eluda las protecciones predeterminadas de BitLocker y acceda al contenido de una unidad cifrada. En términos prácticos, un portátil robado que anteriormente se consideraba seguro gracias al cifrado de BitLocker podría tener sus datos leídos sin necesidad del PIN o contraseña correctos.

GreenPlasma apunta a CTFMON, un proceso en segundo plano de Windows que gestiona la entrada de texto, el reconocimiento de escritura a mano y la configuración de idioma. Esta vulnerabilidad permite la escalada local de privilegios, lo que significa que un atacante que ya ha logrado establecerse en un sistema puede elevar sus permisos a un nivel superior, logrando potencialmente acceso de administrador o a nivel de SISTEMA. Ambas vulnerabilidades juntas representan una combinación peligrosa: una derriba el muro que protege tus datos en reposo, mientras que la otra permite un compromiso más profundo del sistema una vez que el atacante está dentro.

En el momento de redactar este artículo, Microsoft no ha publicado parches para ninguna de las dos vulnerabilidades. El código de prueba de concepto está disponible públicamente, lo que reduce considerablemente la barrera para la explotación por parte de actores de amenazas menos sofisticados.

Quién está en riesgo y qué datos están expuestos

Cualquier persona que ejecute un sistema Windows 11 o Windows Server 2022 y 2025 con BitLocker habilitado está potencialmente afectada por YellowKey. El requisito de acceso físico sí limita la superficie de ataque en comparación con un exploit completamente remoto, pero ese matiz no debería proporcionar mucho consuelo. Los portátiles utilizados por empleados en entornos de trabajo híbrido, los dispositivos almacenados en espacios de oficina compartidos y las máquinas confiscadas o inspeccionadas en controles fronterizos son todos escenarios de amenaza realistas.

Para GreenPlasma, el perfil de riesgo es más amplio en algunos aspectos. Las vulnerabilidades de escalada local de privilegios se encadenan con frecuencia con otras técnicas de ataque. Un correo electrónico de phishing que entrega una carga inicial de bajo privilegio, por ejemplo, podría ir seguido de un exploit de GreenPlasma para obtener control total del sistema. Los entornos corporativos, las agencias gubernamentales y los individuos que manejan archivos confidenciales están todos en el punto de mira.

Los datos expuestos van desde documentos personales y registros financieros hasta propiedad intelectual corporativa y credenciales almacenadas en disco. Las organizaciones que operan bajo marcos de cumplimiento como HIPAA, GDPR o CMMC deberán evaluar si estas vulnerabilidades afectan a sus obligaciones regulatorias.

Por qué los usuarios de BitLocker no pueden depender únicamente del cifrado de disco

La divulgación de YellowKey ilustra una limitación fundamental que los usuarios conscientes de la privacidad suelen pasar por alto: el cifrado protege los datos solo mientras el propio mecanismo de cifrado permanezca sin verse comprometido. BitLocker fue diseñado para proteger contra ataques sin conexión, principalmente escenarios en los que se extrae una unidad y se lee en otra máquina. No fue diseñado para ser una fortaleza impenetrable frente a un atacante sofisticado armado con un exploit zero-day que apunta al propio proceso que gestiona el desbloqueo de la unidad.

Este es el argumento central de la defensa en profundidad. Depender de un único control de seguridad, por muy fiable que sea, crea un único punto de fallo. Cuando ese control es eludido, no queda nada entre un atacante y tus datos. La misma lógica se aplica a las amenazas en la capa de red: cifrar el tráfico en tránsito a través de una VPN no te protege si tu endpoint ya ha sido comprometido, y asegurar tu endpoint no protege los datos que fluyen sin cifrar por una red no confiable.

La aparición de estas dos vulnerabilidades también sirve como recordatorio de que los actores de amenazas no siempre necesitan infraestructura sofisticada para causar daños graves. Como se documenta en campañas como la de los sitios gubernamentales falsos que apuntan a ciudadanos de todo el mundo, la ingeniería social y las herramientas comunes se combinan frecuentemente con exploits disponibles públicamente con efectos devastadores. Un PoC público para eludir BitLocker reduce considerablemente el nivel de habilidad requerido.

Pasos de defensa en profundidad: Parches, VPNs y seguridad por capas

Hasta que Microsoft publique parches oficiales, los usuarios y administradores deberían seguir los siguientes pasos.

Supervisar las actualizaciones de seguridad de Microsoft. Mantén Windows Update habilitado y comprueba si hay parches fuera de banda, especialmente dada la disponibilidad pública del código PoC. Cuando lleguen los parches, prioriza su implementación.

Habilitar BitLocker con un PIN. La configuración predeterminada de BitLocker solo con TPM es más susceptible a esta clase de ataque. Configurar BitLocker para requerir un PIN previo al arranque añade una capa de fricción que eleva el listón para los atacantes físicos.

Restringir el acceso físico. Para las máquinas de alto valor, los controles de seguridad física son importantes. Las salas de servidores con llave, los candados de cable para portátiles y las políticas claras sobre dispositivos desatendidos reducen la superficie de ataque de YellowKey.

Estratificar los controles de seguridad. El cifrado de disco es una capa, no una estrategia completa. Combínalo con herramientas de detección y respuesta en endpoints, cifrado a nivel de red para datos en tránsito, autenticación robusta y segmentación de red. Una VPN garantiza que, incluso si un atacante pivota desde un endpoint comprometido, los datos salientes no queden expuestos en texto claro en la red.

Auditar las cuentas privilegiadas. Dado el riesgo de escalada de privilegios de GreenPlasma, revisa qué cuentas tienen derechos de administrador local en los endpoints. Reducir los privilegios innecesarios limita el radio de daño si se utiliza un exploit.

Qué significa esto para ti

Las divulgaciones de YellowKey y GreenPlasma son un recordatorio concreto de que ninguna herramienta de seguridad por sí sola proporciona protección completa. Si toda tu estrategia de seguridad de datos descansa en BitLocker, ahora es el momento de auditar el conjunto de capas más amplio. Considera qué ocurre si BitLocker es eludido: ¿hay otra capa que proteja tus archivos más confidenciales? ¿Está el tráfico de tu red cifrado de forma independiente a tu disco? ¿Están tus credenciales y claves de recuperación almacenadas de forma segura?

Los pasos proactivos importan más antes de un incidente que después. Revisa tus controles de seguridad actuales, aplica las mitigaciones disponibles y trata estas divulgaciones como una oportunidad para reforzar las capas que BitLocker por sí solo no puede cubrir.