Microsoft acaba de publicar una mitigación provisional para YellowKey, la vulnerabilidad de BitLocker que lleva semanas dando que hablar, pero lo que de verdad se ha montado entre bastidores no es el fallo técnico sino el rifirrafe entre la compañía y el investigador que lo sacó a la luz. Porque una cosa es tapar el agujero y otra muy distinta es la guerra de declaraciones que ha estallado a la vez, con acusaciones cruzadas que dejan a Redmond en una posición incómoda.
A principios de mes ya os contamos que se había descubierto un fallo en Windows 11 capaz de saltarse el cifrado de BitLocker, registrado como CVE-2026-45585 y bautizado por su descubridor como YellowKey. Ahora llega el desenlace, y tiene más de culebrón corporativo que de boletín de seguridad.
¿En qué consiste la vulnerabilidad YellowKey de Windows 11?
El fallo permite que un atacante con acceso físico al equipo se salte BitLocker usando una simple memoria USB, aprovechando una debilidad en el Entorno de Recuperación de Windows (WinRE) a través de una carpeta llamada FsTx. Quien lo destapó fue Nightmare-Eclipse, el mismo investigador que poco después publicó otra vulnerabilidad bautizada como MiniPlasma, capaz de colar modificaciones maliciosas en el Registro del sistema, así que no hablamos de alguien que aparezca de la nada sino de un nombre que lleva tiempo hurgando en las tripas de Windows.
Lo que enciende la mecha es que el investigador no se limitó a reportar el fallo en privado, sino que publicó una prueba de concepto funcional, y ahí es donde empiezan los problemas para todos.
El parche provisional: qué hace y a quién le interesa
Tras la avalancha de informes sobre YellowKey, Microsoft reconoció el problema y soltó su propia guía de mitigación con un script que define como «solución de seguridad provisional». La compañía lo recomienda sobre todo a quien viaja con su portátil de trabajo o se lo lleva a casa, es decir, el perfil que más expuesto está al robo físico del dispositivo, que es justo el escenario donde esta vulnerabilidad hace daño de verdad.
El script es para WinRE y elimina autofstx.exe del valor del registro BootExecute. Dado que BootExecute ejecuta programas muy pronto durante el arranque, incluso en modo de recuperación, eliminar esta entrada impide que ese ejecutable se ejecute en un entorno con altos privilegios, lo que reduce el riesgo, explica Microsoft sobre su solución.
El propio script monta la imagen de WinRE, edita su registro SYSTEM sin conexión para borrar la entrada si está presente y luego vuelve a sellar WinRE de forma que la confianza de BitLocker no se rompa, y si la entrada autofstx.exe ni siquiera aparece, el proceso termina sin tocar nada. Es un apaño sensato mientras llega la corrección definitiva, aunque conviene tener claro que es eso, un apaño, no la solución final.
¿Por qué Microsoft y el investigador han acabado a la greña?
Aquí está la parte que de verdad da titulares. Junto al reconocimiento del fallo, Microsoft deslizó una pulla nada disimulada al afirmar que «la prueba de concepto de esta vulnerabilidad se ha hecho pública, violando las mejores prácticas coordinadas en materia de vulnerabilidades». Traducido: te agradecemos el aviso, pero nos has dejado vendidos al publicarlo antes de tiempo.
Nightmare-Eclipse no se quedó callado, y en su blog respondió con una carta abierta que no tiene desperdicio:
Estimado Microsoft, con respecto a CVE-2026-45585, decir que violé las mejores prácticas de divulgación coordinada es una difamación contra mi reputación personal. Ya me advirtieron que me difamarían, y hacerlo en público no ayudará a resolver este conflicto, escribió el investigador.
La acusación más grave no es esa, sin embargo. El investigador sostiene que Microsoft le revocó intencionadamente el acceso a su cuenta de MSRC, la misma que usaba para reportar fallos a la compañía, y que cuando pidió explicaciones procedieron a borrarla por completo sin responder a ninguna de sus peticiones. Si esto es como lo cuenta, no es un detalle menor, porque cargarse el canal por el que un investigador te avisa de los agujeros es pegarte un tiro en el pie de cara a la próxima vulnerabilidad.
Visto lo visto, Nightmare-Eclipse le ha dado la vuelta a la tortilla y coloca la responsabilidad del lado de Redmond desde el principio. No es la primera vez que una gran tecnológica choca con la comunidad de seguridad por los tiempos de la divulgación, y rara vez salen bien parados quienes tratan a los investigadores como adversarios en lugar de aliados. Habrá que ver si Microsoft rebaja el tono o si esto va a más, porque la sensación que deja es que el parche era la parte fácil.