· Original en inglés · Artículo

Investigador descubre漏洞 que permite acceder a discos cifrados de Windows con solo un USB

Fuentes: Microsoft BitLocker-protected drives can now be opened with just some files on a USB stick — YellowKey zero-day exploit demonstrates an apparent backdoor, techspot.com
Investigador descubre漏洞 que permite acceder a discos cifrados de Windows con solo un USB
Imagen generada con IA

Un investigador de seguridad conocido como Nightmare-Eclipse (también llamado Chaotic Eclipse) ha publicado YellowKey, una vulnerabilidad que permite acceder a discos cifrados con BitLocker en Windows sin necesidad de conocer la contraseña. El exploit funciona copiando una carpeta llamada 'FsTx' a un USB formateado con NTFS, FAT32 o exFAT, y posteriormente reiniciar el sistema accediendo al Windows Recovery Environment mediante una secuencia específica de teclas. Una vez completado el proceso, aparece una línea de comandos con acceso completo al volumen cifrado, sin requerir ninguna clave de autenticación.

El método ha sido probado y verificado por medios especializados, quienes confirmaron que funciona en Windows Server 2022 y 2025, aunque no en Windows 10. Lo más preocupante es que los archivos del exploit desaparecen automáticamente después de ser utilizados, lo que dificulta su detección forense. El investigador ha acusado públicamente a Microsoft de haber introducido intencionalmente una 'puerta trasera' en BitLocker, señalando que el componente vulnerable solo se encuentra en las imágenes oficiales de Windows Recovery Environment.

BitLocker es el sistema de cifrado nativo de Microsoft, habilitado por defecto en Windows 11, y protege millones de equipos domésticos, empresariales y gubernamentales. Aunque las claves de cifrado están almacenadas en el TPM del equipo, el exploit permite sortear esta protección. Nightmare-Eclipse ha declarado que incluso configuraciones con TPM+y PIN no serían suficientes, ya que posee una variante no publicada para ese escenario.

Paralelamente, el mismo investigador publicó GreenPlasma, un segundo exploit que permite escalate privilegios a nivel de sistema manipulando el proceso CTFMon, lo que podría otorgar control total sobre servidores Windows. Microsoft no ha emitido declaraciones oficiales sobre estas vulnerabilidades. Los expertos advierten que este hallazgo representa una amenaza grave para la seguridad corporativa y exige una revisión urgente de las políticas de cifrado en entornos donde se utiliza BitLocker.