Tecnología

Qué es Secure Boot y cómo pasó inadvertida una falla de una década

Ars Technicahace 2 h
Primer plano de una placa base de ordenador y su circuitería
Primer plano de una placa base de ordenador y su circuiteríaPhoto: Mikhail Nilov / Pexels

Secure Boot es una capa de seguridad fundamental integrada en los ordenadores modernos para proteger el proceso de arranque. Cuando una máquina se enciende, Secure Boot verifica que cada componente de software ejecutado antes de cargar el sistema operativo provenga de una fuente confiable, con el objetivo de impedir que el malware se infiltre durante esa etapa temprana y vulnerable.

Esa verificación se basa en firmas digitales. Cada componente está firmado criptográficamente por su fabricante, y el firmware del ordenador está diseñado para permitir la ejecución únicamente de firmas reconocidas como confiables. En teoría, esto hace prácticamente imposible que un software no autorizado secuestre el proceso de arranque.

Pero investigadores de seguridad han revelado que esta protección en realidad podía eludirse desde hace más de una década. La raíz del problema está en lo que se conoce como "shims", pequeños componentes de software que permiten que distintos sistemas operativos funcionen junto a Secure Boot.

Algunos de estos shims son versiones antiguas, creadas hace años, que presentan vulnerabilidades conocidas. En circunstancias normales, las firmas digitales de estos componentes defectuosos deberían haberse revocado, retirándolos de la lista de software confiable. En cambio, los investigadores descubrieron que muchos shims antiguos y olvidados siguieron considerándose confiables durante años, sin haber sido nunca revocados.

Este descuido significa que un atacante podría explotar uno de estos shims obsoletos y vulnerables para eludir Secure Boot por completo. Al cargar el componente antiguo en un sistema, un atacante puede ejecutar software no confiable mientras la máquina lo sigue considerando confiable.

La falla es especialmente peligrosa porque un ataque exitoso que burla Secure Boot puede permitir la instalación de un bootkit: malware incrustado tan profundamente en el proceso de arranque que puede persistir incluso después de reinstalar por completo el sistema operativo. Este tipo de malware opera en un nivel por debajo de donde suelen actuar los antivirus convencionales, lo que lo hace extremadamente difícil de detectar.

Los expertos afirman que la complejidad técnica del ecosistema de shims explica en parte por qué el problema pasó inadvertido durante tanto tiempo. Con miles de shims distintos circulando por el mundo, rastrear cuáles presentan vulnerabilidades —y revocarlos— es una tarea genuinamente difícil.

Microsoft asegura haber acelerado el proceso de revocación de los shims conocidos como vulnerables desde que salió a la luz el problema. Los investigadores de seguridad advierten, sin embargo, que actualizar las listas de revocación en millones de dispositivos en todo el mundo llevará tiempo.

Para los usuarios comunes, la principal defensa es simplemente mantener actualizados el sistema operativo y el firmware. Esas actualizaciones incorporan las listas de revocación más recientes, garantizando que los componentes obsoletos y vulnerables ya no se traten como confiables.

El episodio se discute en la comunidad de seguridad como un recordatorio de que los sistemas de confianza basados en firmas valen tanto como su proceso de revocación: emitir firmas correctamente importa, pero retirar la confianza a tiempo, una vez que ya no está justificada, importa igual de mucho.

Este artículo es un resumen editorial asistido por IA basado en Ars Technica. La imagen es una foto de archivo de Mikhail Nilov en Pexels.

Para seguir leyendo

Tecnología de centro de datos en una sala de servidores
Tecnología

El CEO de DeepMind pide un organismo independiente para evaluar los modelos de IA de frontera

El CEO de Google DeepMind, Demis Hassabis, propone crear un "organismo de estándares" independiente para la IA, inspirado en los organismos de autorregulación del sector financiero, encargado de evaluar los modelos de frontera y desarrollar buenas prácticas antes de su lanzamiento. La idea añade una nueva dimensión al debate sobre quién debería supervisar la IA avanzada.

TechCrunchhace 2 h
Líneas de código en una pantalla de ordenador en un entorno oscuro
Tecnología

Qué es la "divulgación completa" en ciberseguridad y cuándo la usan los investigadores

La divulgación pública de una vulnerabilidad en Cursor, un popular editor de código asistido por IA, ha vuelto a poner en el centro del debate una práctica de ciberseguridad muy discutida: la divulgación completa. Es la opción a la que recurren los investigadores como último recurso cuando consideran que la respuesta de un proveedor es demasiado lenta para proteger a los usuarios.

Hacker Newshace 2 h