Vulnerabilidad de BitLocker: El zero-day YellowKey expone el cifrado de Windows

El “Eclipse Caótico” y la Vulnerabilidad de BitLocker: Un Terremoto en el Ecosistema de Windows

El 14 de mayo de 2026 quedará marcado en los anales de la ciberseguridad no solo por la complejidad técnica de los exploits revelados, sino por la naturaleza desafiante de su divulgación. Un investigador conocido bajo los alias de Chaotic Eclipse y Nightmare-Eclipse ha sacudido los cimientos de Redmond al liberar dos vulnerabilidades “zero-day” críticas que afectan a las versiones más modernas de Windows. Los exploits, bautizados como YellowKey y GreenPlasma, no son simples errores de código; son manifestaciones de una relación cada vez más hostil entre los investigadores independientes y las grandes corporaciones tecnológicas, específicamente el Microsoft Security Response Center (MSRC).

La revelación fue cronometrada con una precisión quirúrgica para coincidir con el “Patch Tuesday” de Microsoft, maximizando la ventana de exposición y el caos administrativo. Mientras las empresas apenas comenzaban a digerir las actualizaciones oficiales, el “drop” de Chaotic Eclipse introducía nuevas variables no contempladas en las defensas estándar. Este evento no es un incidente aislado, sino la continuación de una campaña de “rebelión digital” que anteriormente incluyó herramientas como BlueHammer y RedSun, consolidando una narrativa donde el conocimiento técnico se utiliza como un arma de protesta ante políticas de divulgación percibidas como opresivas o negligentes.

YellowKey: Desmontando el Mito de la Fortaleza de BitLocker

La vulnerabilidad de BitLocker denominada YellowKey es, sin duda, el descubrimiento más alarmante de esta entrega. No se trata de un ataque de fuerza bruta contra el cifrado AES, sino de un bypass lógico que aprovecha la confianza implícita que el sistema operativo deposita en su propio entorno de recuperación. La premisa es aterradora por su simplicidad: un atacante con acceso físico breve a una máquina puede obtener un shell de comandos con privilegios totales sobre el volumen cifrado, saltándose incluso las configuraciones que utilizan TPM + PIN.

El núcleo técnico de YellowKey reside en la interacción entre el Windows Recovery Environment (WinRE) y una característica antigua y poco documentada de Windows: las Transacciones NTFS (TxF). Este sistema, introducido originalmente en la era de Windows Vista, permite que las operaciones de archivos se realicen de forma atómica. Sin embargo, Chaotic Eclipse descubrió que WinRE procesa de manera insegura los registros de transacciones (archivos FsTx) ubicados en medios externos o particiones no cifradas durante el proceso de arranque.

El Mecanismo de Replay de Transacciones NTFS

La explotación de esta vulnerabilidad de BitLocker ocurre cuando el sistema intenta “reparar” o “sincronizar” volúmenes durante el inicio en modo de recuperación. Al colocar archivos FsTx específicamente diseñados en una unidad USB o en la partición EFI (que por diseño permanece sin cifrar), el investigador logró inducir un comportamiento de “replay” o repetición de transacciones. Durante este proceso, el componente vulnerable dentro de WinRE procesa estas transacciones y, en un error de lógica fundamental, permite la eliminación o modificación de archivos críticos en el volumen de arranque (X:) del entorno de recuperación.

• Componente Afectado: El motor de procesamiento de logs FsTx dentro de la imagen de WinRE.
• Vector de Ataque: Manipulación de la estructura de directorios en \System Volume Information\FsTx.
• Consecuencia Inmediata: La eliminación del archivo winpeshl.ini, el cual dicta qué aplicaciones debe ejecutar el shell de Windows PE al iniciar.

Al desaparecer winpeshl.ini, el sistema entra en un estado de “fallback” o contingencia, lanzando por defecto una consola de cmd.exe. Debido a que el Trusted Platform Module (TPM) ya ha liberado las claves de descifrado para permitir que WinRE acceda al disco para reparaciones, el shell resultante tiene acceso sin restricciones a todos los datos del usuario, eliminando la barrera de protección que BitLocker promete proporcionar.

Arqueología Digital: El Resurgimiento de TxF

Este hallazgo ha sido calificado por expertos como un ejercicio de “Arqueología de Internet”. El código que permite las transacciones NTFS es considerado una reliquia que Microsoft ha intentado depreciar durante años debido a su extrema complejidad y a la superficie de ataque que presenta. No obstante, al permanecer enterrado en el núcleo del sistema y, más críticamente, en las imágenes de recuperación que no siempre se actualizan con la misma frecuencia que el sistema operativo principal, se convirtió en el punto ciego perfecto.

El analista de vulnerabilidades Will Dormann ha validado el hallazgo, señalando que el “leído enterrado” aquí es que un log de transacciones en un volumen (como una USB) tiene la capacidad de modificar el contenido de otro volumen (el disco del sistema) durante el replay en WinRE. Esta falla de aislamiento entre volúmenes sugiere una debilidad arquitectónica profunda en cómo Windows gestiona la integridad de los sistemas de archivos durante los estados de mantenimiento.

GreenPlasma: Elevación de Privilegios a través de CTFMON

Mientras YellowKey se encarga de la barrera física y el cifrado, GreenPlasma actúa como el multiplicador de fuerza una vez que se tiene acceso al sistema operativo. Este segundo zero-day se centra en el Collaborative Translation Framework (CTF), específicamente en el servicio ctfmon.exe, un componente responsable de la entrada de texto y las tecnologías de asistencia que ha sido fuente de vulnerabilidades desde hace décadas.

GreenPlasma explota una falla en la validación de objetos de sección de memoria dentro de la arquitectura de comunicación entre procesos (IPC) de Windows. Un usuario sin privilegios puede, teóricamente, crear objetos de sección arbitrarios en ubicaciones de memoria que el sistema considera “de confianza”. Al manipular estas secciones, un atacante puede inyectar código en procesos que se ejecutan bajo la cuenta NT AUTHORITY\SYSTEM, logrando una escalada de privilegios completa.

Sinergia de Exploits: La Cadena de Ataque Perfecta

La combinación de YellowKey y GreenPlasma permite una cadena de compromiso total. YellowKey otorga acceso a los archivos protegidos por la vulnerabilidad de BitLocker, permitiendo la extracción de bases de datos SAM, secretos de LSA o incluso la implantación de binarios maliciosos. Si el sistema operativo está activo, GreenPlasma permite que cualquier persistencia lograda se eleve al nivel más alto de control sobre el hardware. La sincronización de ambos lanzamientos sugiere que Chaotic Eclipse no solo buscaba exponer fallos, sino proporcionar un ecosistema de explotación completo para subrayar la magnitud de las deficiencias de seguridad actuales.

La “Guardia Hacker” vs. El Gigante de Redmond

El contexto de esta divulgación es tan relevante como la técnica. Las declaraciones de Chaotic Eclipse sugieren una profunda frustración con el MSRC. Según el investigador, las comunicaciones previas fueron ignoradas o desestimadas, lo que llevó a la decisión de publicar los exploits sin un parche disponible. Esta táctica de “divulgación hostil” es un recordatorio de la era dorada del hacking de finales de los 90, donde la transparencia radical se utilizaba para forzar la mano de los desarrolladores.

La comunidad de seguridad se encuentra dividida. Por un lado, la exposición de una vulnerabilidad de BitLocker tan crítica sin mitigación pone en riesgo a millones de usuarios corporativos y gubernamentales. Por otro lado, los defensores de la privacidad argumentan que si un investigador independiente pudo encontrar esta “puerta trasera” involuntaria basada en NTFS, es muy probable que actores estatales ya la estuvieran utilizando en operaciones de espionaje físico.

Mitigaciones y Recomendaciones Ante la Amenaza Actual

A falta de un parche oficial de Microsoft, que se espera sea complejo debido a la necesidad de actualizar no solo el kernel sino todas las imágenes de WinRE distribuidas globalmente, los administradores de sistemas deben tomar medidas proactivas. La vulnerabilidad de BitLocker YellowKey depende del acceso físico y del comportamiento de WinRE.

1. Desactivar WinRE: En entornos de alta seguridad, la recomendación inmediata es deshabilitar el entorno de recuperación mediante el comando reagentc /disable para cerrar el vector de ataque directo.
2. Protección de Arranque Estricta: Implementar contraseñas de BIOS/UEFI y deshabilitar el arranque desde dispositivos USB para mitigar la carga de archivos FsTx maliciosos.
3. Uso de Protectores Adicionales: Aunque YellowKey afirma afectar a TPM+PIN, el uso de autenticación de pre-arranque robusta sigue siendo una capa de defensa que complica el acceso inmediato al sistema de archivos.
4. Monitoreo de Integridad: Implementar soluciones que detecten la manipulación de la partición EFI y cambios inesperados en los logs de transacciones del sistema.

Conclusión: Una Llamada de Atención para la Seguridad de Datos

El “Zero-Day Drop” de mayo de 2026 es un recordatorio de que ninguna tecnología, por más estándar que sea, es inmune al escrutinio de un investigador motivado por el resentimiento o la búsqueda de la verdad técnica. La vulnerabilidad de BitLocker revelada a través de YellowKey expone la fragilidad de confiar en entornos de recuperación que operan con privilegios implícitos. Mientras Microsoft trabaja contra reloj para parchear estas brechas, la industria debe reflexionar sobre el “legado tóxico” del código antiguo y la necesidad de una comunicación más efectiva y respetuosa con aquellos que dedican su vida a encontrar las grietas en nuestras defensas digitales.

El “Eclipse Caótico” ha pasado, pero las sombras que ha proyectado sobre la confianza en el cifrado de disco de Windows tardarán mucho tiempo en disiparse. El próximo Patch Tuesday de junio promete otra “sorpresa”, manteniendo a la comunidad de ciberseguridad en un estado de alerta permanente, esperando ver qué otra reliquia del pasado de Windows será utilizada para comprometer el futuro de nuestra privacidad.