Un investigador descubre una vulnerabilidad que permite instalar ransomware a través de los parches de microcódigo de CPU

Los procesadores son una pieza fundamental en un PC, pues estos los usamos para realizar todo tipo de tareas desde que iniciamos el PC hasta que lo apagamos. Al igual que la RAM, los discos y la GPU, la CPU se encarga de dar vida al propio ordenador y cualquier otro dispositivo que tenga capacidades de cálculo. En el caso de los PC de sobremesa, podemos elegir entre procesadores de Intel y de AMD, aunque ya hemos visto que últimamente no paran de haber problemas con Intel y sus CPU. Los parches de microcódigo para CPU son habituales, pero resulta que un investigador ha encontrado de que este tipo de actualizaciones pueden usarse para realizar un ataque de ransomware.

Si hacemos memoria, hace un par de años Intel empezó a tener graves problemas con sus clientes, pues hubo una oleada de reportes de problemas con sus CPU. Esto ocurría sobre todo en las CPU de gama alta como los i9 Core 13 y Core 14. En estos casos, el usuario podía ver como el ordenador se congelaba, se paralizaba todo para volver un tiempo después o acabar con un pantallazo azul reiniciando el PC con un código de error.

Un analista descubre que hay una vulnerabilidad en CPU Zen de AMD donde es posible instalar ransomware a través de una actualización de microcódigo

Intel prometió arreglar estos problemas de inestabilidad y estuvo mucho tiempo lanzando actualizaciones de microcódigo con ese fin. Cuando supuestamente lo solventó, llegaron los Core Ultra 200S que necesitaron también actualizaciones para que funcionasen mejor. Esto no es exclusivo de Intel, pues AMD también ha lanzado este tipo de parches. Ahora un investigador llamado Christiaan Beek descubrió que estos parches de seguridad pueden ser una vulnerabilidad y permitirán instalar ransomware directamente en la CPU

Este analista descubrió que había un fallo crítico en las CPU Zen de AMD a principios de 2025 y esta brecha de seguridad permitía que un atacante pudiese modificar la instrucción RDRAND para así inyectar un microcódigo personalizado que siempre selecciona 4 al generar un número aleatorio.

El investigador asegura que este tipo de exploits existen y pone como ejemplo el caso de BlackLotus

Este tipo de microcódigo personalizado puede saltarse las capas de seguridad de la CPU y acabar instalando un ransomware que a su vez impide el acceso a la víctima al sistema. Normalmente este tipo de ataques funciona limitando una parte o la totalidad de la máquina y el atacante pide un rescate a la víctima. A cambio del pago que pide, este le volverá a devolver el control de su ordenador como si nada hubiera pasado.

Por el momento no han detectado algún caso de ataque usando esta vulnerabilidad, pero el investigador realizó una prueba de concepto (PoC) con un ransomware oculto y pudo ejecutarlo. Esto implica que logró saltarse las capas de seguridad profundas que existen en el sistema y comprometer a la CPU o el firmware de la placa base. Adicionalmente, el analista habló de que este tipo de ataques que se saltan las capas de seguridad son una realidad, como BlackLotus. Recordemos que este bootkit no solo esquivaba a los antivirus, sino que encima podía evitar medidas de seguridad como Secure Boot en tu PC.