TempMail Ninja
//

Drivers de kernel en Windows 11: Microsoft elimina soporte a certificados heredados

5 min de lectura
TempMail Ninja
Drivers de kernel en Windows 11: Microsoft elimina soporte a certificados heredados

Contenido del artículo

El ecosistema de seguridad de Windows ha recibido un cambio sísmico este abril de 2026. Microsoft ha ejecutado un movimiento largamente esperado pero tecnológicamente complejo: el fin del soporte nativo para los drivers de kernel firmados mediante el antiguo programa de “cross-signing” (firmado cruzado). Esta decisión no es una simple actualización de mantenimiento; es un cierre definitivo de un “agujero” de seguridad de dos décadas que, durante años, ha permitido a actores maliciosos comprometer los cimientos mismos de la privacidad y la integridad del sistema operativo.

El fin de una era: ¿Por qué ahora?

Para entender la magnitud de este cambio, debemos remontarnos a principios de los años 2000. En aquel entonces, el modelo de “firmado cruzado” fue diseñado para facilitar la interoperabilidad, permitiendo que terceras partes (autoridades de certificación externas) emitieran firmas reconocidas por Windows. El objetivo era la flexibilidad. Sin embargo, lo que se diseñó para la eficiencia se convirtió en una vulnerabilidad estructural. Al descentralizar la confianza, Microsoft permitió que los atacantes explotaran claves de firma débiles o robadas para inyectar código en el núcleo del sistema, el nivel más privilegiado de ejecución.

A partir de esta actualización, Windows 11 (versiones 24H2 en adelante) y Windows Server 2025 adoptan una postura mucho más estricta. La confianza predeterminada para los drivers de kernel se traslada exclusivamente al programa Windows Hardware Compatibility Program (WHCP). Al centralizar y endurecer este proceso, Microsoft garantiza que cada controlador que interactúa con el kernel haya sido sometido a pruebas de malware, compatibilidad y, fundamentalmente, verificación de identidad por parte de la propia infraestructura de Redmond.

Anatomía de la amenaza: El peligro del “Bring Your Own Vulnerable Driver” (BYOVD)

La razón técnica fundamental detrás de este endurecimiento es la mitigación de los ataques conocidos como BYOVD (*Bring Your Own Vulnerable Driver*). En estos escenarios, los atacantes no necesitan crear malware sofisticado desde cero. En su lugar, descargan un controlador legítimo, firmado digitalmente mediante el antiguo esquema de firma cruzada, que contiene una vulnerabilidad conocida (un fallo de programación).

Una vez que Windows carga este “driver” aparentemente legítimo, el atacante explota la vulnerabilidad para obtener privilegios de nivel de kernel. Una vez ahí, el atacante es esencialmente el “dueño” del sistema:

  • Desactivación de protecciones: El atacante puede detener servicios de seguridad, EDRs (Endpoint Detection and Response) y el propio Windows Defender.
  • Persistencia invisible: Al operar al nivel del kernel, el código malicioso se vuelve invisible para la mayoría de las herramientas de seguridad convencionales que operan en modo usuario.
  • Anulación de VPNs y Tor: Incluso si un usuario utiliza herramientas de anonimato como Tor o servicios de VPN robustos, un rootkit instalado vía un driver de kernel comprometido puede interceptar el tráfico antes de que sea cifrado o después de que sea descifrado.

El despliegue: Modo de evaluación y compatibilidad

Microsoft es consciente de que este cambio podría romper el funcionamiento de hardware antiguo o especializado, especialmente en entornos industriales o de investigación. Por ello, la implementación no será un bloqueo inmediato “a ciegas”. La actualización de abril de 2026 introduce un modo de evaluación inteligente:

  1. Monitoreo y Auditoría: El kernel comenzará a monitorear todos los drivers cargados durante un periodo inicial.
  2. Criterios de Activación: El sistema requiere al menos 100 horas de tiempo de ejecución y múltiples ciclos de reinicio para evaluar la estabilidad de los drivers instalados.
  3. Migración Automática: Si durante la fase de evaluación, todos los drivers detectados cumplen con la nueva normativa de confianza, el sistema activará la política de bloqueo de manera automática y silenciosa.
  4. Lista de Permisos (Allow-list): Para evitar el colapso de sistemas críticos, Microsoft mantendrá una lista de exclusión (allow-list) con drivers antiguos, reputados y ampliamente utilizados que no han migrado al WHCP pero que son esenciales para el funcionamiento de hardware heredado.

El rol de Application Control for Business

Para organizaciones y usuarios avanzados que requieren el uso de controladores personalizados (por ejemplo, para desarrollo de hardware interno o seguridad personalizada), Microsoft no deja las puertas cerradas, pero eleva la exigencia. La solución se canaliza a través de Application Control for Business (anteriormente conocido como WDAC). Esta herramienta permite a los administradores definir políticas específicas que autorizan la carga de ciertos drivers sin depender de la firma global del WHCP.

Esta política, no obstante, debe estar firmada por una autoridad de confianza vinculada a los mecanismos de Secure Boot (como la Platform Key o Key Exchange Key). Esto garantiza que la extensión de la confianza sea controlada, auditable y, sobre todo, no sea una puerta trasera universal para atacantes.

Conclusión: Hacia una arquitectura más resiliente

La decisión de Microsoft de retirar la confianza a los drivers de kernel firmados por programas antiguos es un paso necesario en la evolución de la seguridad informática moderna. Aunque para el usuario cotidiano esta transición pasará desapercibida, la superficie de ataque para amenazas persistentes avanzadas (APT) se reduce drásticamente. Al forzar la adopción del WHCP, Microsoft no solo está limpiando el ecosistema de controladores, sino que está estableciendo una línea de defensa innegociable en el punto más crítico del sistema operativo: el lugar donde el software se convierte en parte del hardware.

En el futuro, la seguridad dejará de ser una capa que se añade al sistema; será una propiedad intrínseca de cómo el sistema permite que cualquier componente se convierta en parte de su núcleo. La era del “firmado cruzado” ha terminado, y con ella, una vulnerabilidad que durante demasiado tiempo fue un secreto a voces entre los atacantes de nivel kernel.

Etiquetas

Actualizaciones de MicrosoftControladores de kernelProtección contra rootkitsSeguridad de Windows 11
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.

También te puede interesar

Seguridad digital y anonimato: La guía definitiva de OpSec

Cómo navegar red oscura de forma segura: Por qué evitar el VPN

Vulnerabilidad en seguridad Mullvad VPN: Riesgos y cómo protegerte