Caducidad masiva de claves de arranque: Windows y Linux en alerta

¿Qué ha ocurrido?

Las claves criptográficas que aseguran la cadena de arranque en sistemas Windows y Linux, gestionadas por Microsoft y la comunidad Linux, expirarán a partir del 24 de junio de 2024. Estas claves forman parte del mecanismo de arranque seguro (Secure Boot), un estándar de seguridad definido en la especificación UEFI que verifica la integridad del sistema operativo antes de cargarlo, evitando que malware como rootkits se ejecuten al inicio. La expiración afecta principalmente a dispositivos fabricados antes de 2021, que no cuentan con actualizaciones de firmware para renovar las claves. En concreto, se trata de las claves de firma de Microsoft (Microsoft KEK) y las claves de la base de datos de firmas (db) que contienen los hashes de los cargadores de arranque autorizados. Cuando estas claves expiran, el firmware UEFI ya no confiará en los binarios firmados con ellas, lo que puede impedir el arranque del sistema operativo.

El origen de este problema se remonta a 2011, cuando se introdujo Secure Boot como parte de los requisitos para Windows 8. En ese momento, Microsoft estableció que las claves de firma tendrían una validez de 10 años, pensando que para entonces el hardware habría sido reemplazado. Sin embargo, muchos dispositivos han superado ese ciclo de vida sin recibir actualizaciones de firmware. La expiración de claves no es un fenómeno nuevo: en 2020, un evento similar afectó a dispositivos con Windows 10 que no actualizaron su firmware, aunque en aquella ocasión Microsoft emitió un parche de emergencia. La diferencia ahora es que la expiración afecta tanto a Windows como a Linux, ya que la comunidad Linux también utiliza claves de firma de Microsoft para que sus cargadores de arranque (como GRUB) sean aceptados por Secure Boot.

¿Por qué es importante?

El arranque seguro es una capa crítica de seguridad. Si las claves expiran, los sistemas pueden mostrar errores de verificación y negarse a arrancar, o bien arrancar en un modo inseguro que los expone a ataques. Esto es especialmente relevante para empresas que gestionan parques de equipos antiguos, dispositivos IoT y sistemas embebidos. Según un informe de Wired, se estima que millones de dispositivos podrían verse afectados, aunque los fabricantes han lanzado parches para los modelos más recientes. La comunidad de seguridad ha advertido que el problema podría ser más grave de lo que parece, ya que muchos dispositivos IoT y sistemas embebidos (como routers, cámaras IP o terminales de punto de venta) no reciben actualizaciones de firmware y quedarían inoperativos o inseguros. Además, la expiración de claves no solo afecta al arranque del sistema operativo, sino también a la carga de controladores y otros componentes firmados durante el arranque.

El impacto en el mercado laboral y empresarial es significativo. Las empresas con grandes flotas de equipos antiguos deberán planificar actualizaciones de firmware o reemplazos de hardware, lo que implica costes operativos y de planificación. Para los usuarios domésticos, el riesgo es menor si tienen equipos posteriores a 2021, pero aquellos con hardware más antiguo podrían enfrentarse a bloqueos de arranque inesperados. La expiración también afecta a los sistemas Linux, que dependen de las claves de Microsoft para Secure Boot; si las claves expiran, los usuarios de Linux podrían tener que deshabilitar Secure Boot o firmar manualmente sus cargadores de arranque, un proceso técnico que no está al alcance de todos.

Consecuencias

• Bloqueo de arranque: Los sistemas sin actualización de firmware podrían mostrar un mensaje de error como "Secure Boot violation" y no iniciar. En algunos casos, el firmware puede ofrecer la opción de continuar en modo inseguro, pero esto depende del fabricante.
• Modo inseguro: Algunos equipos permitirán continuar el arranque sin verificación, comprometiendo la seguridad. Esto expone al sistema a rootkits y otros malware que se cargan antes del sistema operativo.
• Costes operativos: Las empresas deberán actualizar firmware o reemplazar hardware obsoleto, con el consiguiente gasto. Según estimaciones de analistas, el coste de reemplazar un parque de 10.000 equipos podría superar los 5 millones de dólares, sin contar el tiempo de inactividad.
• Dispositivos IoT: Muchos dispositivos embebidos no reciben actualizaciones, quedando inoperativos o inseguros. Por ejemplo, routers domésticos o sistemas de control industrial podrían dejar de funcionar correctamente.
• Impacto en Linux: Los usuarios de distribuciones Linux que dependen de Secure Boot pueden encontrar que sus sistemas no arrancan después del 24 de junio. Canonical y Red Hat ya han emitido advertencias y parches para sus versiones más recientes.

¿Qué deben saber los lectores?

Si tienes un equipo con Windows o Linux fabricado antes de 2021, verifica si el fabricante ha lanzado una actualización de firmware (UEFI). En Windows, puedes comprobarlo en Configuración > Actualización y seguridad > Windows Update, buscando actualizaciones de firmware. También puedes usar el comando msinfo32 para ver la versión del BIOS/UEFI. En Linux, consulta el sitio del fabricante o usa herramientas como fwupdmgr (parte de LVFS) para buscar actualizaciones. Si no hay parche, considera reemplazar el hardware o deshabilitar Secure Boot (no recomendado por seguridad). Los sistemas más recientes (posteriores a 2021) ya incluyen claves renovadas, aunque se recomienda mantener el firmware actualizado. Para los usuarios avanzados, es posible firmar manualmente el cargador de arranque con claves propias, pero este proceso requiere conocimientos técnicos.

“La expiración de estas claves es un recordatorio de que la seguridad del firmware requiere mantenimiento continuo, al igual que el software”, señala un análisis de Wired. Además, el investigador de seguridad Alex Ionescu advierte que "el problema no es solo la expiración, sino que muchos fabricantes no han proporcionado actualizaciones para dispositivos que aún están en uso".