PKfail: así es el fallo que compromete la protección Secure Boot en PC, dispositivos médicos, videoconsolas y terminales de venta

La seguridad de dispositivos como los ordenadores depende de muchos factores, como las páginas web que visitemos, la presencia de un antivirus activo en el sistema y la existencia de vulnerabilidades. Los ordenadores no son los únicos dispositivos que pueden ser vulnerables, pues ahora tenemos un fallo que afecta a muchos más. Una lista de fabricantes de dispositivos de marcas como Acer, Dell, HP o Lenovo sufren de un fallo de arranque seguro (Secure Boot) que ha llegado a afectar a más de 500 dispositivos, incluyendo no solo PC, sino también equipos médicos y cajeros automáticos.

Secure Boot o arranque seguro es una medida que se ha empleado para protegerse de amenazas de seguridad que se empezó a adoptar en 2012. Esta medida era útil para evitar que el malware pudiera llegar a infectar el PC y pudiéramos cargar el sistema operativo y aplicaciones mínimas para poder realizar los ajustes necesarios. La posibilidad de que el malware se pudiera adherir a la BIOS y afectarla es lo que se temía como un ataque realmente complejo y difícil de defender.

PKfail es como se ha denominado al fallo de seguridad que afecta a cientos de dispositivos con Secure Boot

Seguridad ram

Aquellos que crearon Secure Boot sabían que esto no era infalible y se descubrieron ataques como Mebromi que podían acabar con esto. Secure Boot acabó utilizando criptografía de claves públicas para evitar que ningún código que no fuese firmado con firma digital pudiera ejecutarse. Todo esto ha funcionado sin demasiados problemas hasta que hace un tiempo se descubrió que Secure Boot está comprometido en cientos de dispositivos debido a una clave criptográfica que resultó ser vulnerada en 2022.

Esta clave era el comienzo de un fallo que afectaría a la cadena de suministro y a la mayoría de principales fabricantes. Aquí se encontraron otras claves que contienen la cadena de texto de "no confiar" y "no enviar". A pesar de ello, marcas como Acer, Dell, Gigabyte, Fujitsu, HP, Lenovo, Supermicro o Intel las utilizaron y como tal, los dispositivos están comprometidos.

Los investigadores han encontrado 490 dispositivos con claves comprometidas y hay marcas como Beelink y Minisforum que venden ordenadores vulnerables

brecha seguridad Windows malware vulnerabilidad Wi-Fi

Los investigadores de Binarly empezaron identificando 513 dispositivos que usaban claves de prueba y ahora se sabe que hay 972 que emplean estas. Mientras tanto, con la clave comprometida se conocían 215 y ahora hay 490. Además de encontrar un montón de equipos afectados, también se han descubierto cuatro nuevas claves de prueba, llegando a un total de 20. Todo esto ha llegado a una magnitud considerable y se ha bautizado el fallo de seguridad como PKfail. Si bien antes las claves procedían de AMI, ahora se sabe que hay tres proveedores que vendían dispositivos afectados por PKfail como son los odroid-h2/h3/h4, el Beelink Mini 12 Pro y el Minisforum HX99G.

Como antes decíamos, esto no solo afecta a los ordenadores, sino que también se han encontrado casos de dispositivos con claves no seguras y PKfail en equipos médicos, consolas de juegos como las portátiles con hardware de ordenador, cajeros automáticos, terminales de puntos de venta y hasta máquinas para votar. Con PKfail esta protección prometida por Secure Boot y que ha sido obligatoria en entornos corporativos ya no es tan efectiva como se creía.