Microsoft lanza una solución de urgencia para YellowKey, el agujero de seguridad que permite eludir el cifrado BitLocker de Windows 11 con una memoria USB

Si eres de los que tiene activado el sistema de cifrado BitLocker de Windows 11, lo normal es que te quedes tranquilo pensando que nadie va a poder acceder a tus documentos sin saberse la contraseña. Parece que esa tranquilidad se acabó.

Una vulnerabilidad con nombre YellowKey permite a cualquiera saltarse por completo esa protección. Lo único que necesita es tener el ordenador delante, apagarlo y meterle un pendrive modificado en el puerto USB.

Lo peor es que esta alerta llega un poco tarde, ya que los detalles de este hackeo ya se han filtrado sin que a Microsoft le haya dado tiempo de corregirlo. El error ha sido registrado de forma oficial con el código CVE-2026-45585 y afecta a las versiones más actuales del sistema operativo, incluyendo Windows 11 y Windows Server 2025. 

Teniendo en cuenta que el mapa para llevar esto a cabo ya se ha publicado, a Microsoft no le ha quedado más remedio que publicar una guía de urgencia con instrucciones manuales para que los administradores de sistemas de las empresas puedan tapar el agujero.

Eliminar el bloatware de Windows 11 puede liberar RAM, almacenamiento y mucho más: estas son todas las apps que tendrías que desinstalar

Tal y como el experto bajo el pseudónimo de Chaotic Eclipse comenta (es quien ha descubierto este agujero), el problema de BitLocker no está en el sistema de cifrado en sí, sino en el entorno de recuperación de Windows (el menú de pantalla azul WinRE que sale cuando el ordenador falla). 

El ataque aprovecha un exceso de confianza del propio sistema informático. Al colocar unos archivos especiales con el formato FsTx dentro de una memoria USB y conectarla al equipo, el atacante puede forzar al ordenador a reiniciarse en el modo de recuperación.

El truco sucede precisamente durante el arranque en esa pantalla de recuperación: si el atacante mantiene pulsada la tecla Control en un momento muy concreto del inicio, el sistema operativo se confunde y abre una ventana de comandos del sistema con los máximos permisos posibles. A partir de ese momento, tiene vía libre y sin restricciones a todos los archivos que supuestamente estaban protegidos.

SUSE pide a la Unión Europea una nueva legislación que priorice el código abierto como Linux en el sector público frente a opciones privadas como Windows

La solución definitiva: es hora de volver a usar un código PIN

Más allá de esa guía manual que ha publicado Microsoft, la compañía ha comentado en su comunicado que hay que dejar de confiar solo en el chip automático del ordenador. Están aconsejando a todas las empresas cambiar su configuración de BitLocker al modo TPM+PIN.

Es decir, quieren que las empresas dejen a un lado esa configuración de BitLocker de modo solo TPM. 

Con este sistema, al que se le añade el PIN, el chip de seguridad ya no desbloqueará el disco duro por su cuenta al encender el equipo; en su lugar, obligará al usuario a teclear un código PIN en una pantalla negra de seguridad antes de que el propio Windows empiece a cargarse. 

De esta forma, si un hacker intenta usar el truco de la memoria USB bajo esta configuración, se topará con una segunda barrera que directamente resultará infranqueable.