Windows 11: vulnerabilidad BitUnlocker compromete BitLocker y TPM (2026)
· Fuente: El Chapuzas Informático
Windows 11: vulnerabilidad BitUnlocker compromete BitLocker y TPM
Una prueba de concepto llamada BitUnlocker, publicada por el laboratorio de seguridad Intrinsec, ha demostrado que Windows 11 completamente sin actualizaciones permite acceder a discos duros y unidades de estado sólido cifrados con BitLocker en cuestión de minutos, sin necesidad de romper el cifrado mediante fuerza bruta.
Cómo funciona el ataque BitUnlocker
El ataque no intenta descifrar BitLocker directamente, sino que explota vulnerabilidades en la cadena de arranque de Windows 11. El problema radica en que un boot manager antiguo, firmado por Microsoft, puede ser aceptado por el sistema si mantiene confianza en Microsoft Windows PCA 2011.
La técnica aprovecha la vulnerabilidad CVE-2025-48804 (BitLocker acepta datos externos no confiables junto con datos confiables) y el entorno de recuperación de Windows (WinRE). El atacante realiza un downgrade del boot manager, manipula un archivo SDI e inyecta una imagen WIM alterada. El sistema verifica una imagen legítima durante el arranque, pero termina ejecutando código controlado por el atacante, quien obtiene acceso directo al volumen cifrado montado y descifrado sin autenticación.
Requisitos y condiciones del ataque
| Condición | Detalle |
|---|---|
| Sistema operativo | Windows 11 sin actualizaciones actuales |
| Encriptación | BitLocker activado solo con TPM, sin PIN de arranque |
| Acceso requerido | Acceso físico o temprano en el ciclo de arranque |
| Tiempo estimado | Menos de 5 minutos |
Impacto en la seguridad chilena
Esta vulnerabilidad afecta a empresas y usuarios en Chile que confían en BitLocker como única capa de protección en computadores portátiles y servidores. Los centros de datos, instituciones financieras y compañías con datos sensibles deben evaluar inmediatamente si sus sistemas cumplen con la configuración segura recomendada: BitLocker con PIN de arranque obligatorio además de TPM.
Recomendaciones de protección
Microsoft ha recomendado implementar BitLocker con PIN de arranque previo obligatorio, lo que previene este ataque específico. Además, es crítico mantener Windows 11 actualizado con los últimos parches de seguridad. Los usuarios que no pueden usar PIN de arranque deben considerar alternativas como Veracrypt o utilizar Secure Boot con configuración restrictiva.
Comparativa con alternativas de encriptación
BitLocker sigue siendo una opción válida cuando se configura correctamente con PIN. Sin embargo, herramientas como VeraCrypt ofrecen cifrado de disco completo sin dependencia de TPM. En Chile, empresas como Banco Estado y BCI han implementado BitLocker en sus flotas de computadores, por lo que esta vulnerabilidad genera urgencia en parchear sistemas antes de que se publique exploit público.
Veredicto
Windows 11 es seguro contra BitUnlocker solo si se mantiene actualizado y se configura BitLocker con PIN de arranque obligatorio; sin estas medidas, el sistema es vulnerable a acceso físico directo a datos cifrados.
Mencionados en esta noticia
Preguntas frecuentes
¿Qué es BitUnlocker y cómo ataca BitLocker?
BitUnlocker es una prueba de concepto que explota CVE-2025-48804 para acceder a discos cifrados con BitLocker manipulando la cadena de arranque de Windows 11, no mediante fuerza bruta del cifrado, sino controlando qué código se ejecuta al iniciar el computador.
¿Necesito PIN en BitLocker para estar seguro contra BitUnlocker?
Sí, es obligatorio. Configurar BitLocker con PIN de arranque previo previene específicamente este ataque porque requiere autenticación del usuario antes de permitir cualquier código de arranque, incluso si está firmado por Microsoft.
¿Afecta esta vulnerabilidad a computadores actualizados?
No, Windows 11 con todas las actualizaciones de seguridad más recientes incluye parches contra CVE-2025-48804. La vulnerabilidad solo afecta a sistemas sin actualizaciones recientes de Microsoft.
¿Es mejor usar VeraCrypt que BitLocker en Chile?
VeraCrypt es más independiente y no requiere TPM, pero BitLocker integrado es suficiente si está bien configurado. La elección depende de la arquitectura de TI y políticas empresariales de cada organización.
¿Qué debo hacer si tengo BitLocker sin PIN en mi PC?
Accede inmediatamente a Administración de BitLocker, desactiva el cifrado actual, y reactívalo incluyendo PIN de arranque obligatorio. Luego aplica todas las actualizaciones pendientes de Windows 11.