Así es Bootkitty, el primer bootkit UEFI que afecta al sistema operativo Linux
El sistema operativo de nuestro ordenador es la base de todo para poder determinar lo que será capaz de hacer, los programas compatibles e incluso la seguridad del dispositivo. Así es como ocurre que con el sistema operativo Windows podemos estar expuestos a muchos tipos de malware, mientras que con macOS e incluso Linux estamos más protegidos. Al menos hasta ahora, pues unos investigadores han descubierto el primer bootkit UEFI para Linux al que han bautizado como "Bootkitty".
La mayoría de personas tiene un ordenador de sobremesa o un portátil con el sistema operativo Windows. Este sistema operativo nos ha acompañado durante décadas y hemos visto muchas versiones de él, siendo la última la de Windows 11 24H2. Microsoft dejó de lado Windows 10 y se enfoca en Windows 11 debido a que el anterior va a pasar a una nueva vida en octubre de 2025. Aunque W11 está bastante bien en todos los aspectos, en seguridad sigue estando por detrás de sistemas operativos como el de Apple o Linux, aunque muchas veces si el PC se infecta es por culpa nuestra, todo hay que decirlo.
Después de pasar por el temor de BlackLotus ahora Linux tiene su propio bootkit llamado Bootkitty
Al igual que decían que macOS o iOS eran totalmente impenetrables, ya hemos visto algunos ataques realizados que han superado las medidas de protección de estos. Si comparamos Linux con Windows, el sistema operativo libre y gratuito es mucho más seguro, aunque eso no evita que encontremos algunos ejemplos de infecciones de malware a lo largo de los años, como el reciente Perfctl.
Ahora nos toca hablar de otro peligro para la aparente seguridad inquebrantable de Linux, pues los analistas de ESET encontraron un bootkit en una aplicación UEFI llamada bootkit.efi que se subió a VirusTotal para analizar el archivo. Lo han decidido denominar Bootkitty y se considera el primer bootkit UEFI que afecta a Linux, algo que no podemos decir por parte de Windows. En este sistema operativo si que hemos encontrado varios casos de bootkits como BlackLotus el año pasado.
Está en una fase temprana de desarrollo y aún no puede hacer todo lo que quieren sus desarrolladores
Los investigadores de ESET descubrieron que Bootkitty solo afecta a algunas distribuciones de Ubuntu, por lo que no funciona contra otras versiones de Linux. Además, se reveló que hace uso de un certificado de seguridad autofirmado, por lo que el bootkit UEFI no funcionará en sistemas operativos que hagan uso de la función Secure Boot. Aunque visto de esta forma no parece muy peligroso, Bootkitty sería capaz de arrancar el kernel de Linux incluso con Secure Boot activado, pero aún está lejos de conseguirlo en la práctica.
Lo cierto es que han determinado que este bootkit aún está en una fase temprana de desarrollo y no funciona demasiado bien. Tiene muchos "artifacts" y problemas que le impiden aprovechar todo su potencial. De hecho, aún no se ha finalizado el código para hacer que funcione sin problemas, por lo que todo está aún por ver. Descubrieron un módulo de kernel llamado BCDropper que permite iniciar programas ELF en Linux y así cargar módulos adicionales del kernel.