Vulnerabilidades Windows zero-day: Alerta por YellowKey y GreenPlasma

El ecosistema de ciberseguridad global se encuentra en estado de máxima alerta tras la filtración coordinada de dos de las vulnerabilidades Windows zero-day más devastadoras de la última década. El 13 de mayo de 2026, apenas 24 horas después del ciclo habitual de actualizaciones de Microsoft, un investigador conocido bajo los alias “Chaotic Eclipse” y “Nightmare Eclipse” publicó código de prueba de concepto (PoC) para los exploits denominados YellowKey y GreenPlasma. Esta maniobra, ejecutada en lo que los analistas ya llaman el “Miércoles de Exploits”, ha dejado a millones de sistemas corporativos y gubernamentales en una posición de vulnerabilidad crítica, sin una solución oficial a la vista hasta el próximo mes.

YellowKey: La caída de la fortaleza BitLocker

El exploit YellowKey representa un golpe directo a la confianza en el cifrado de disco completo (FDE) de Windows. Esta vulnerabilidad permite a un atacante con acceso físico o local evadir por completo el cifrado de BitLocker en versiones modernas de Windows 11 y Windows Server 2022/2025. Lo más alarmante es que el método no requiere de fuerza bruta ni de la clave de recuperación del usuario.

La falla técnica reside en un error sistémico en cómo el Entorno de Recuperación de Windows (WinRE) maneja la “confianza de ruta” (path trust) y el sistema de archivos transaccional (Transactional NTFS o TxF). Durante el proceso de recuperación, WinRE intenta “reproducir” operaciones pendientes para asegurar la integridad de los datos. YellowKey aprovecha este mecanismo de la siguiente manera:

• El atacante inserta una unidad USB con archivos “FsTx” específicamente diseñados dentro de la carpeta System Volume Information.
• Al reiniciar el sistema en modo WinRE (frecuentemente presionando Shift + Reiniciar), el sistema detecta los registros de transacciones en la unidad externa.
• A través de una falla en la lógica de procesamiento, WinRE procesa estas transacciones y elimina archivos críticos de configuración, como el archivo winpeshl.ini, que controla qué aplicaciones se ejecutan al inicio de la recuperación.
• Sin este archivo de control, el sistema vuelve de manera predeterminada a un símbolo del sistema (CMD) con privilegios máximos, mientras que el chip TPM ya ha desbloqueado la partición cifrada para las labores de “reparación”.

El resultado es un acceso sin restricciones a todos los datos del disco duro, permitiendo la exfiltración de información confidencial en menos de cinco minutos de acceso físico. Investigadores de firmas como Bridewell han señalado que esta vulnerabilidad parece ser una falla arquitectónica profunda en la relación de confianza entre el cargador de arranque de Windows y el entorno de recuperación.

GreenPlasma y la elevación de privilegios a nivel SYSTEM

Mientras que YellowKey compromete la seguridad física, GreenPlasma es el arma definitiva para el compromiso post-explotación. Estas vulnerabilidades Windows zero-day se centran en el componente CTFMON (Text Services Framework), un servicio que gestiona métodos de entrada, teclados y reconocimiento de voz, y que se ejecuta con privilegios de SYSTEM en cada sesión interactiva.

El exploit GreenPlasma utiliza una técnica de “creación de sección arbitraria”. En términos técnicos, un usuario sin privilegios puede forzar la creación de objetos de sección de memoria dentro de directorios de objetos que normalmente solo son accesibles para el usuario SYSTEM. Al manipular estos objetos, el atacante puede inyectar código malicioso en servicios de alto nivel o incluso en controladores de modo kernel que “confían ciegamente” en dichas rutas de memoria.

Chaotic Eclipse ha descrito este exploit como un reto para la comunidad, publicando una versión “recortada” de la PoC que requiere conocimientos técnicos avanzados para lograr una consola SYSTEM completa. Sin embargo, analistas de seguridad han confirmado que la lógica central es sólida y que actores de amenazas sofisticados ya están integrando este método en campañas activas “in-the-wild”.

El “Patch Gap”: Un riesgo calculado por el atacante

La sincronización de esta liberación no es accidental. Al publicar el código inmediatamente después del Patch Tuesday de mayo de 2026, el investigador ha garantizado un “periodo de gracia” para los atacantes. Microsoft suele tardar semanas en desarrollar, probar y desplegar parches para vulnerabilidades tan complejas como estas, especialmente aquellas que, como YellowKey, residen en la imagen de WinRE y no solo en el sistema operativo principal.

Este fenómeno crea un riesgo operativo masivo para las organizaciones que dependen únicamente de las actualizaciones automáticas. Durante los próximos 30 días, estas vulnerabilidades Windows zero-day serán el vector preferido para el espionaje corporativo y los ataques de ransomware dirigidos.

Análisis del perfil de “Chaotic Eclipse”

La motivación detrás de este ataque masivo a la infraestructura de Microsoft parece ser una venganza personal. El investigador, que utiliza los nombres Nightmare Eclipse y Chaotic Eclipse, ha expresado públicamente su frustración con el Microsoft Security Response Center (MSRC). Según sus declaraciones en plataformas como GitHub y redes sociales especializadas, Microsoft desestimó sus reportes anteriores sobre vulnerabilidades similares (como BlueHammer y RedSun) calificándolas como “fuera de alcance” o de bajo impacto.

“Microsoft ha decidido jugar juegos infantiles en lugar de resolver la situación como adultos”, afirmó el investigador. Además, ha lanzado una advertencia ominosa: el próximo ciclo de actualizaciones de junio de 2026 incluirá una “gran sorpresa” si la compañía no cambia su postura ante los investigadores de seguridad independientes.

Recomendaciones críticas y mitigación inmediata

Dado que no existe un parche oficial para estas vulnerabilidades Windows zero-day al momento de escribir este artículo, los equipos de seguridad y administradores de sistemas deben implementar controles compensatorios de manera urgente. El Ninja Editor recomienda las siguientes medidas:

1. Refuerzo de la seguridad física: Para mitigar YellowKey, es imperativo restringir el acceso físico a estaciones de trabajo y laptops sensibles. Se recomienda deshabilitar el arranque desde dispositivos USB a nivel de BIOS/UEFI y proteger estas configuraciones con contraseñas robustas.
2. Autenticación de PIN en TPM: Aunque se debate su efectividad contra variantes avanzadas de YellowKey, implementar un PIN de pre-arranque en BitLocker añade una capa de protección necesaria que el chip TPM requiere antes de liberar las llaves de cifrado.
3. Monitoreo de CTFMON.exe: Los Centros de Operaciones de Seguridad (SOC) deben configurar sus herramientas de detección y respuesta en el endpoint (EDR) para alertar sobre cualquier proceso hijo inusual que se origine desde ctfmon.exe. La creación de secciones de memoria o inyecciones sospechosas en este proceso es un indicador claro de compromiso.
4. Actualización de reglas EDR/SIEM: Es vital ajustar las firmas de detección para identificar los patrones específicos de creación de secciones arbitrarias asociados con la PoC de GreenPlasma.
5. Evaluación de WinRE: En entornos de alta seguridad, considere deshabilitar temporalmente el entorno de recuperación (reagentc /disable) hasta que Microsoft publique una guía oficial o un parche que asegure la integridad de este componente.

Conclusión: El futuro de la ciberseguridad en Windows

La crisis desatada por YellowKey y GreenPlasma pone de manifiesto la fragilidad de los sistemas modernos frente a investigadores descontentos y fallas arquitectónicas heredadas. La seguridad basada exclusivamente en parches mensuales es un modelo que está fallando ante atacantes que comprenden profundamente los ciclos de desarrollo de software de las Big Tech.

Para las organizaciones, la lección es clara: la defensa debe ser profunda y proactiva. No basta con confiar en el cifrado de disco o en los privilegios de usuario estándar; es necesario un monitoreo constante del comportamiento del sistema y una estrategia de respuesta ante incidentes que asuma que el perímetro —ya sea físico o digital— tarde o temprano será vulnerado por vulnerabilidades Windows zero-day. El “Miércoles de Exploits” ha llegado para quedarse, y la carrera armamentista entre Microsoft y Chaotic Eclipse apenas está comenzando.