Una nueva herramienta publicada en GitHub puede saltarse el cifrado BitLocker de Windows 11 en cuestión de minutos y con acceso físico al equipo. Se llama BitUnlocker y, aunque el nombre suena a utilidad de recuperación, en realidad es una prueba de concepto que demuestra lo fácil que puede ser comprometer un sistema mal configurado.
Lo más preocupante no es la herramienta en sí, sino la base técnica que la hace posible: una vulnerabilidad que Microsoft parcheó en julio de 2025, y que sigue siendo explotable porque el parche, por sí solo, no cierra el problema del todo.
BitUnlocker explota una brecha entre parchear y revocar certificados en Windows
El ataque se apoya en el CVE-2025-48804, corregido por Microsoft durante el Patch Tuesday de julio de 2025. El fallo lo descubrió el propio equipo interno de Microsoft, el grupo STORM (Security Testing & Offensive Research), así que no fue una sorpresa llegar tarde al parche. El problema es que instalar la actualización no basta.
La empresa de seguridad Intrinsec lo explica con claridad: Secure Boot verifica la autenticidad del gestor de arranque por el certificado que lo firma, no por el número de versión. El certificado antiguo «Microsoft Windows PCA 2011» sigue siendo de confianza en muchos equipos, lo que permite cargar un gestor de arranque desactualizado y vulnerable aunque el sistema esté completamente parcheado.
Con ese gestor antiguo cargado, el atacante monta una imagen de Windows manipulada que abre una ventana de comandos automáticamente al arrancar. Para entonces, la unidad BitLocker ya está descifrada y montada. Sin contraseña. Sin alarmas.
Sin hardware especial, solo un USB y acceso físico
Aquí está el detalle que debería preocupar a los equipos de seguridad corporativos: BitUnlocker no requiere equipamiento especializado ni conocimientos técnicos avanzados. Basta con acceso físico al dispositivo, una unidad USB o un servidor de arranque PXE, y seguir los pasos documentados en el repositorio público de GitHub.
Los sistemas más vulnerables son los que tienen BitLocker protegido únicamente con TPM, sin PIN adicional. En esa configuración, el Módulo de Plataforma Segura libera la clave de cifrado de forma automática durante el arranque, sin que el usuario tenga que hacer nada, y sin que pueda detectar que el gestor cargado no es el legítimo.
Los equipos que ya usan el certificado más reciente «Windows UEFI CA 2023» no están expuestos a este vector. Los configurados con TPM más PIN tampoco, porque la autenticación adicional bloquea el acceso antes de que el ataque llegue a esa fase.
Qué hacer ahora mismo
La recomendación más urgente es instalar la actualización KB5025885 de Microsoft y verificar qué certificado de gestor de arranque tiene activo cada equipo de la red. Si los sistemas todavía usan el certificado antiguo de 2011, la actualización del certificado debería ser prioritaria.
Activar el PIN de arranque en BitLocker es la segunda capa de protección que más diferencia hace en este escenario concreto. No es una configuración habitual en entornos corporativos porque añade fricción al encendido, pero frente a ataques de acceso físico como este, el PIN es lo que separa un sistema seguro de uno que puede desbloquearse en minutos.
Que los investigadores hayan publicado la prueba de concepto de forma abierta en GitHub no fue un accidente. El objetivo es acelerar la respuesta: mientras la herramienta sea pública y funcional, la presión para revisar configuraciones es real e inmediata.