Qué es Secure Boot y cómo pasó inadvertida una falla de una década

Secure Boot es una capa de seguridad fundamental integrada en los ordenadores modernos para proteger el proceso de arranque. Cuando una máquina se enciende, Secure Boot verifica que cada componente de software ejecutado antes de cargar el sistema operativo provenga de una fuente confiable, con el objetivo de impedir que el malware se infiltre durante esa etapa temprana y vulnerable.
Esa verificación se basa en firmas digitales. Cada componente está firmado criptográficamente por su fabricante, y el firmware del ordenador está diseñado para permitir la ejecución únicamente de firmas reconocidas como confiables. En teoría, esto hace prácticamente imposible que un software no autorizado secuestre el proceso de arranque.
Pero investigadores de seguridad han revelado que esta protección en realidad podía eludirse desde hace más de una década. La raíz del problema está en lo que se conoce como "shims", pequeños componentes de software que permiten que distintos sistemas operativos funcionen junto a Secure Boot.
Algunos de estos shims son versiones antiguas, creadas hace años, que presentan vulnerabilidades conocidas. En circunstancias normales, las firmas digitales de estos componentes defectuosos deberían haberse revocado, retirándolos de la lista de software confiable. En cambio, los investigadores descubrieron que muchos shims antiguos y olvidados siguieron considerándose confiables durante años, sin haber sido nunca revocados.
Este descuido significa que un atacante podría explotar uno de estos shims obsoletos y vulnerables para eludir Secure Boot por completo. Al cargar el componente antiguo en un sistema, un atacante puede ejecutar software no confiable mientras la máquina lo sigue considerando confiable.
La falla es especialmente peligrosa porque un ataque exitoso que burla Secure Boot puede permitir la instalación de un bootkit: malware incrustado tan profundamente en el proceso de arranque que puede persistir incluso después de reinstalar por completo el sistema operativo. Este tipo de malware opera en un nivel por debajo de donde suelen actuar los antivirus convencionales, lo que lo hace extremadamente difícil de detectar.
Los expertos afirman que la complejidad técnica del ecosistema de shims explica en parte por qué el problema pasó inadvertido durante tanto tiempo. Con miles de shims distintos circulando por el mundo, rastrear cuáles presentan vulnerabilidades —y revocarlos— es una tarea genuinamente difícil.
Microsoft asegura haber acelerado el proceso de revocación de los shims conocidos como vulnerables desde que salió a la luz el problema. Los investigadores de seguridad advierten, sin embargo, que actualizar las listas de revocación en millones de dispositivos en todo el mundo llevará tiempo.
Para los usuarios comunes, la principal defensa es simplemente mantener actualizados el sistema operativo y el firmware. Esas actualizaciones incorporan las listas de revocación más recientes, garantizando que los componentes obsoletos y vulnerables ya no se traten como confiables.
El episodio se discute en la comunidad de seguridad como un recordatorio de que los sistemas de confianza basados en firmas valen tanto como su proceso de revocación: emitir firmas correctamente importa, pero retirar la confianza a tiempo, una vez que ya no está justificada, importa igual de mucho.
Para seguir leyendo

25 años de Google Imágenes: cómo ha evolucionado la búsqueda visual
Google celebra el 25.º aniversario de la Búsqueda de Imágenes con una galería rediseñada e impulsada por IA que se actualiza continuamente según los intereses del usuario. La renovación recuerda cuánto ha avanzado esta herramienta desde sus inicios como un simple buscador por palabras clave.

Llegan las tiendas de aplicaciones de terceros a Android: qué cambia el conflicto Google-Epic
Google y Epic Games han retirado conjuntamente su intento de acuerdo en el largo litigio que está redefiniendo el funcionamiento de las tiendas de aplicaciones de Android, allanando el camino para que entre en vigor una orden judicial. Google afirma que empezará a alojar tiendas de aplicaciones rivales dentro de su propia Play Store a partir de la semana próxima.

El CEO de DeepMind pide un organismo independiente para evaluar los modelos de IA de frontera
El CEO de Google DeepMind, Demis Hassabis, propone crear un "organismo de estándares" independiente para la IA, inspirado en los organismos de autorregulación del sector financiero, encargado de evaluar los modelos de frontera y desarrollar buenas prácticas antes de su lanzamiento. La idea añade una nueva dimensión al debate sobre quién debería supervisar la IA avanzada.

Qué es la "divulgación completa" en ciberseguridad y cuándo la usan los investigadores
La divulgación pública de una vulnerabilidad en Cursor, un popular editor de código asistido por IA, ha vuelto a poner en el centro del debate una práctica de ciberseguridad muy discutida: la divulgación completa. Es la opción a la que recurren los investigadores como último recurso cuando consideran que la respuesta de un proveedor es demasiado lenta para proteger a los usuarios.

Escasez de chips de memoria: por qué hunde los envíos de smartphones a mínimos
Una escasez mundial de chips de memoria está presionando la producción de smartphones, llevando los envíos globales a mínimos históricos, mientras Apple y Samsung, con la escala necesaria para asegurar el suministro, ganan cuota de mercado relativa. Los analistas atribuyen la tensión a la demanda de chips de memoria por parte de los centros de datos de IA.