Se cargan la seguridad de BitLocker en Windows con este dispositivo de 10 euros
BitLocker es una solución de cifrado de archivos que viene incorporada con Windows 10 y Windows 11. Permite proteger los datos en caso de que roben el ordenador o alguien lograra tener acceso físico. Una medida de protección bastante interesante, pero que parece que no están segura como debería. Un investigador de seguridad ha logrado romper la protección de BitLocker con un dispositivo de unos 10€ y en menos de un minuto. Te vamos a contar cómo.
Concretamente, ha utilizado una Raspberry Pi Pico, que es un pequeño aparato que suele costar unos 10€. Es del tamaño de un pendrive genérico, más o menos. Lo que hizo fue interceptar los datos de BitLocker y robar así las claves de cifrado. De esta forma, pudo descifrar los datos almacenados en el sistema.
Raspberry Pi Pico para para descifrar BitLocker
En su cuenta de YouTube, el investigador de seguridad informática Stackmashing ha demostrado cómo es posible. Lo logró en apenas 43 segundos y haciendo uso de un dispositivo tan pequeño como es una Raspberry Pi Pico. Lo que hizo fue aprovecharse de un fallo que afecta a TPM, un chip que suele tener un ordenador moderno. Por tanto, la mayoría hoy en día lo traen.
Al explotar el defecto de diseño común de este chip encargado de proteger el hardware, logró descifrar los datos. Pudo acceder a un conector de la placa base, para poder localizar el chip TPM. Ahí fue donde conectó la Raspberry Pi Pico, lo cual permitió recuperar la clave de BitLocker y descifrar la unidad para poder acceder a los archivos.
Este investigador de seguridad, según indica en su vídeo, afecta a ciertos equipos de Lenovo. No obstante, indica que también podría estar presente en otros equipos informáticos. Informa también de que muchos equipos modernos cuentan con lo que se denomina fTPMs, lo cual es más complicado de acceder. En algunos equipos con TPM 2.0, también podría funcionar.
Protégete
Si quieres evitar que puedan acceder a tus datos por este medio, la mejor opción es crear un PIN para BitLocker. Básicamente, es una protección de seguridad adicional al cifrado con BitLocker. Eso sí, tendrás que poner el PIN cada vez que inicies el equipo, antes de que arranque Windows. Es independiente del PIN que uses en el sistema de Microsoft.
Para ello, lo primero que tienes que hacer es habilitar BitLocker desde Windows. Ten en cuenta que, de cara a poder usar BitLocker, necesitas tener las versiones de Windows 10 Pro o Windows 11 Pro; no funciona con las versiones Home.
Una vez lo tengas habilitado, tienes que ir al Editor de directivas de grupo, accedes a Configuración del equipo, Plantillas administrativas, Componentes de Windows y buscas Cifrado de unidad BitLocker. Posteriormente, tienes que marcar Unidades del sistema operativo y Requerir autenticación adicional al iniciar.
Tienes que habilitar esta función y marcar Requerir PIN de inicio con TPM.
Cuando tengas esto realizado, tendrás que usar el comando manage-bde para habilitar el cifrado de BitLocker. A partir de ahí, ya podrás crear el PIN que quieras y siempre te lo solicitará el ordenador antes de iniciar el sistema. Ese PIN lo vas a poder modificar en cualquier momento, así como quitar si quisieras.
Como ves, podrían utilizar esta estrategia para romper el cifrado de BitLocker. No es algo que afecte a todos los ordenadores, pero sí podría ser el caso de tu equipo. Siempre puedes añadir un PIN, como hemos explicado, y mejorar así la protección.