Un nuevo proof of concept llamado YellowKey ha puesto en duda la fiabilidad de BitLocker como barrera de protección ante el robo de dispositivos. El método afecta a Windows 11 y a Windows Server 2022 y Windows Server 2025, aprovechando una debilidad relacionada con el entorno de recuperación del sistema y configuraciones basadas únicamente en TPM.
El ataque requiere acceso físico al equipo y un dispositivo USB, pero no necesita conocer previamente la clave de cifrado. YellowKey manipula archivos almacenados en el directorio FsTx y aprovecha el funcionamiento de Windows Recovery Environment para reemplazar la pantalla habitual de recuperación por una consola de comandos con acceso al volumen ya desbloqueado.
El problema afecta especialmente a equipos configurados con el modo TPM-only, una opción ampliamente utilizada por Microsoft en el cifrado automático de dispositivos. En este esquema, BitLocker protege los datos mientras la cadena de arranque se comporta como espera el sistema. Sin embargo, si WinRE restaura transacciones NTFS de una forma manipulada, el mecanismo de protección deja de ser completamente fiable.
La situación resulta especialmente delicada porque Microsoft está expandiendo el uso de Device Encryption en cada vez más equipos compatibles con Windows 11. Eso implica que una mayor cantidad de ordenadores depende del desbloqueo transparente mediante TPM, precisamente el punto que YellowKey consigue aprovechar.
Investigadores independientes confirmaron que el método de ataque funciona en sistemas donde BitLocker opera únicamente con TPM y sin autenticación adicional antes del arranque. Esto significa que disponer de BitLocker activado ya no garantiza por sí solo la seguridad de un portátil robado si el atacante puede manipular físicamente el dispositivo.
El caso también vuelve a poner el foco sobre el creciente papel de WinRE dentro del ecosistema de recuperación de Microsoft, especialmente con funciones recientes como Quick Machine Recovery. Cuantas más tareas críticas se delegan al entorno de recuperación, mayor es el impacto potencial de cualquier vulnerabilidad presente en esa capa del sistema.
Por ahora, Microsoft no ha publicado un parche oficial ni recomendaciones definitivas. Mientras tanto, administradores y usuarios corporativos deberían considerar medidas adicionales, como autenticación previa al arranque o controles físicos más estrictos, especialmente en dispositivos que dependen únicamente de TPM para proteger el cifrado de BitLocker.
Fuente: XDA Developers, BleepingComputer, GitHub, Microsoft Learn, Soporte de Microsoft
