El uso del cifrado Bitlocker en el sistema operativo Windows es una estrategia clave para mejorar la seguridad de los datos, ya que protege tanto los archivos del sistema como los datos personales mediante un sólido algoritmo de cifrado AES. Esta medida proporciona una capa adicional de seguridad, permitiendo a los usuarios de PC cifrar y proteger sus datos contra posibles amenazas externas. Sin embargo, investigaciones recientes han revelado que este cifrado puede ser vulnerado utilizando hardware asequible y disponible en el mercado.
En un vídeo publicado en YouTube, el investigador de seguridad Stacksmashing demostró cómo los hackers pueden extraer la clave de cifrado BitLocker de las computadoras con Windows en tan solo 43 segundos utilizando una Raspberry Pi Pico de bajo costo, valorada en 4 dólares. Según sus hallazgos, los ataques dirigidos pueden sortear la seguridad de BitLocker accediendo directamente al hardware y extrayendo las claves de cifrado almacenadas en el módulo de plataforma de confianza (TPM) del ordenador a través del bus LPC.
El ataque se aprovechó de una vulnerabilidad de diseño presente en dispositivos con TPM dedicados, como los portátiles y computadoras de escritorio más modernos. Según explicó el investigador, en algunos casos BitLocker utiliza TPM externos para almacenar información crítica, como los registros de configuración de la plataforma y la clave maestra de volumen. Sin embargo, se descubrió que los canales de comunicación (bus LPC) entre la CPU y el TPM externo permanecen sin cifrar durante el arranque, lo que facilita a los posibles atacantes espiar cualquier interacción entre ambos módulos y extraer las claves de cifrado.
Para demostrar su concepto, Stacksmashing empleó un portátil con diez años de antigüedad que tenía activado el cifrado BitLocker, y configuró la Raspberry Pi Pico para leer los datos binarios sin procesar del TPM y así acceder a la clave maestra de volumen. Posteriormente, utilizando Dislocker y la clave maestra de volumen recién obtenida, pudo descifrar la unidad.
Es importante destacar que esta no es la primera vez que se ha reportado una vulnerabilidad en el cifrado de BitLocker. El año pasado, el investigador de ciberseguridad Guillaume Quéré mostró cómo el sistema de cifrado de volumen completo BitLocker podía ser explotado para permitir a los usuarios espiar la comunicación entre el discreto chip TPM y la CPU a través de un bus SPI. A pesar de ello, Microsoft ha declarado que eludir el cifrado de BitLocker es un proceso complejo y prolongado que requiere un acceso extenso al hardware.
Los recientes incidentes han revelado que BitLocker puede ser vulnerado con mayor facilidad de lo que se creía, lo que plantea interrogantes significativas sobre las actuales prácticas de cifrado. Aunque queda por determinar si Microsoft abordará esta vulnerabilidad específica de BitLocker, a largo plazo, los investigadores en ciberseguridad deben mejorar su labor en la detección y resolución de posibles fallos de seguridad antes de que representen un riesgo para los usuarios.