Login Probar gratis
Malware en firmware y BIOS/UEFI: la amenaza invisible

Malware en firmware y BIOS/UEFI: la amenaza invisible

por MataSpam Malware y Virus

El malware firmware opera en una capa que tu antivirus ni siquiera mira: el código que arranca antes que el sistema operativo. Hablamos de rootkit UEFI, bootkits persistentes y malware BIOS capaces de sobrevivir a un formateo completo del disco. Un firmware ataque bien diseñado se incrusta en la SPI flash de la placa base, en la NIC, en la controladora SSD o incluso en la batería del portátil. Reinstalas Windows, cambias el SSD, reinicias diez veces, y ahí sigue. Casos como LoJax (descubierto por ESET en 2018), MoonBounce (Kaspersky, 2022) o BlackLotus (ESET, 2023) demostraron que esto dejó de ser ciencia ficción hace años. Si trabajas en infraestructura crítica o IA empresarial, te interesa entender cómo funciona esta capa.

Qué es exactamente un rootkit UEFI y por qué da tanto miedo

UEFI (Unified Extensible Firmware Interface) sustituyó al BIOS clásico hace más de una década. Es un mini sistema operativo que vive en un chip SPI flash soldado a la placa base. Carga drivers, gestiona Secure Boot, lanza el bootloader y luego cede el control al sistema operativo.

Un rootkit UEFI se instala en ese chip o en la partición ESP (EFI System Partition) del disco. Se ejecuta antes que el kernel de Windows o Linux. Tiene acceso completo a memoria, disco y red. Y lo peor: puede inyectar código en el sistema operativo cada vez que arrancas, sin dejar rastro en el disco principal.

La diferencia con un malware tradicional es brutal. Un troyano vive en C:\Users\... y lo borras con un formateo. Un implante en firmware vive en silicio. Necesitas reflashear el chip con un programador externo, y a veces ni así.

Las tres capas donde se esconde

  • SPI flash de la placa base: el premio gordo. Persistencia total. Ejemplos: LoJax, MosaicRegressor.
  • Partición ESP del disco: más fácil de instalar, se borra al formatear si sabes lo que haces. Ejemplos: ESPecter, FinSpy UEFI.
  • Firmware de periféricos: tarjetas de red, controladoras de disco, GPU, ratones. Equation Group lo demostró con sus implantes en firmware de HDDs (Kaspersky, 2015).

Bootkits: cuando el problema empieza antes de Windows

Los bootkits son la generación previa, pero siguen vivos. Atacan el bootloader (el cargador de arranque) para inyectar código antes de que el kernel se inicialice. TDL4, Rovnix, Pitou y, más recientemente, BlackLotus, son nombres que cualquier analista de threat intel conoce.

BlackLotus fue especialmente sonado: en 2023 se confirmó que era el primer bootkit UEFI capaz de saltarse Secure Boot en Windows 11 totalmente parcheado, explotando CVE-2022-21894 (Baton Drop). Se vendía en foros rusos por unos 5.000 dólares según informes públicos. Microsoft tardó meses en publicar mitigaciones efectivas (KB5025885, mayo 2023).

El patrón es repetitivo: aparece una vulnerabilidad en el flujo de arranque, alguien la weaponiza, las revocaciones de certificados tardan en propagarse, y mientras tanto el bootkit campa a sus anchas. Un caso parecido al de la escalada de privilegios, pero a nivel firmware.

Cómo entra un firmware ataque en tu equipo

Los vectores reales no son tan exóticos como parece. La mayoría de implantes UEFI documentados llegaron por rutas mundanas:

  1. Acceso físico: el clásico "evil maid attack". Cinco minutos con tu portátil en la habitación del hotel y un programador CH341A bastan.
  2. Cadena de suministro: firmware modificado en fábrica o durante el envío. Snowden ya documentó esto con la NSA y los routers Cisco interceptados.
  3. Actualizaciones de firmware comprometidas: si el atacante controla el servidor de updates del fabricante o consigue firmar binarios.
  4. Privilegios de administrador en el SO: con permisos suficientes, herramientas como flashrom o las propias del fabricante pueden reescribir la SPI flash si no está bloqueada correctamente.
  5. Phishing dirigido con explotación posterior, similar a las técnicas de facturas falsas por email pero con payload mucho más sofisticado.

El detalle técnico que pocos mencionan: muchos OEMs envían sus equipos con los registros de protección SPI mal configurados. Los flags BIOS_CNTL.BLE, BIOS_CNTL.SMM_BWP y los PR0-PR4 deberían bloquear escrituras desde el SO. En la práctica, herramientas como CHIPSEC de Intel detectan que un porcentaje notable de equipos comerciales los traen abiertos.

Casos reales que conviene conocer

ImplanteAñoDescubridorParticularidad
Equation Group HDD firmware2015KasperskyReprogramaba firmware de discos Seagate, WD, Toshiba
LoJax2018ESETPrimer rootkit UEFI in-the-wild atribuido a APT28 (Sednit)
MosaicRegressor2020KasperskyImplante UEFI usado contra ONGs y diplomáticos
TrickBoot2020EclypsiumMódulo de TrickBot que escaneaba protecciones SPI
MoonBounce2022KasperskyAtribuido a APT41, modificaba CORE_DXE
BlackLotus2023ESETPrimer bootkit UEFI que saltaba Secure Boot en Win11
CosmicStrand2022KasperskyPosible origen chino, llevaba años activo

El denominador común: todos atribuidos a actores estatales o grupos APT con presupuesto. No es malware de ransomware oportunista, al menos por ahora. Iniciativas como la doble extorsión ransomware demuestran que las técnicas avanzadas acaban democratizándose.

Cómo detectar y mitigar malware en BIOS y UEFI

Detectar esto desde dentro del sistema operativo es complicado por diseño. Aun así, existen herramientas razonablemente útiles:

  • CHIPSEC (Intel, open source): audita configuración de protecciones SPI, Secure Boot, SMM. Detecta los problemas más obvios.
  • FwHunt (Binarly): reglas YARA específicas para firmware UEFI conocido como malicioso.
  • Eclypsium: solución comercial enfocada a empresas, escanea firmware de placas, NICs, BMC.
  • UEFITool: extrae el contenido del dump SPI para análisis manual.
  • Microsoft Defender System Guard: en Windows 11 con hardware compatible, valida la integridad del proceso de arranque.
  • VirusTotal: subir un dump UEFI puede dar pistas si coincide con firmas conocidas.

Para mitigación, las medidas que sí funcionan:

  1. Mantén Secure Boot activado con las claves del fabricante (no las desactives "porque te molesta para Linux", aprende a gestionar tus propias claves MOK).
  2. Habilita BIOS password para evitar cambios desde la setup utility.
  3. Aplica las actualizaciones de firmware que publica el fabricante. Sí, son un coñazo, pero parchean CVEs que tu antivirus jamás verá.
  4. Usa TPM 2.0 con measured boot. Permite detectar cambios no autorizados en el flujo de arranque.
  5. En entornos corporativos, exige Intel Boot Guard o AMD Platform Secure Boot activados desde fábrica.
  6. Revoca certificados comprometidos vía DBX (UEFI Forbidden Signature Database). Microsoft publica actualizaciones periódicas.

Si gestionas un parque de dispositivos, considera incluir auditorías de firmware en tu plan de protección de datos en viajes y desplazamientos al extranjero. Los portátiles que cruzan fronteras son objetivos prioritarios.

El rol de la cadena de suministro y el ecosistema

El problema de fondo es que el firmware lo escribe gente que no se dedica a seguridad. AMI, Phoenix, Insyde son los grandes proveedores de IBV (Independent BIOS Vendors). Sus referencias se integran luego en placas de Dell, HP, Lenovo, ASUS, MSI con modificaciones propias. Cada eslabón añade superficie de ataque.

En 2022, Binarly publicó una serie de más de 20 vulnerabilidades en firmware InsydeH2O que afectaban a cientos de modelos de portátiles. Algunos fabricantes tardaron más de un año en publicar parches. Otros, directamente, no lo hicieron para equipos fuera de soporte.

La normativa europea empieza a moverse. El Cyber Resilience Act (Reglamento UE 2024/2847, publicado en el DOUE en noviembre de 2024) obliga a fabricantes a gestionar vulnerabilidades durante toda la vida útil del producto. Aplicación plena prevista para finales de 2027. Veremos si se cumple.

Para curiosidades adicionales sobre infraestructura física y trastos electrónicos, sitios como herramientas de taller o domótica tratan el hardware desde otra perspectiva más mundana. Y si te interesan ataques a la cadena de software, el caso de dependency confusion es el equivalente a esto pero en npm y PyPI.

Preguntas frecuentes

¿Un formateo de disco elimina el malware UEFI?

No, si el implante reside en la SPI flash de la placa base. El formateo solo borra el disco. Para limpiarlo necesitas reflashear el firmware, idealmente con un programador externo tipo CH341A, o sustituir la placa base directamente.

¿Puedo detectar un rootkit UEFI con un antivirus normal?

La mayoría de antivirus de consumo no inspeccionan firmware. Algunos productos empresariales como ESET, Kaspersky o Microsoft Defender for Endpoint sí incluyen escaneo UEFI básico, pero las detecciones se limitan a familias conocidas. Para análisis serio se usan herramientas como CHIPSEC o soluciones especializadas como Eclypsium.

¿Secure Boot protege contra todos los bootkits?

Reduce la superficie de ataque, pero no es infalible. BlackLotus demostró en 2023 que se podía evadir explotando vulnerabilidades como CVE-2022-21894. Secure Boot funciona si el firmware está actualizado y los certificados revocados (DBX) al día. Sin esto, su protección es parcial.

¿Es realista preocuparse por esto si no soy un objetivo gubernamental?

Para usuarios domésticos, el riesgo directo es bajo. La mayoría de implantes UEFI documentados son obra de APTs estatales contra objetivos específicos. Para empresas con datos sensibles, infraestructura crítica o personal de alto valor (directivos, abogados, periodistas), sí merece atención dentro del modelo de amenazas.

¿Cómo sé si mi placa base trae las protecciones SPI bien configuradas?

Ejecuta CHIPSEC con privilegios de administrador y revisa los módulos common.bios_wp, common.spi_lock y common.bios_smi. Te dirá si los registros están correctamente bloqueados. Si fallan, contacta con tu fabricante para una actualización de BIOS.

El siguiente paso

Descarga CHIPSEC desde su repositorio oficial en GitHub, ejecuta chipsec_main con permisos de administrador en tu equipo principal y revisa el informe. Si aparecen módulos en estado FAILED relacionados con protecciones SPI o Secure Boot, busca la última actualización de BIOS de tu fabricante y aplícala. Diez minutos de auditoría te dicen más sobre la seguridad real de tu hardware que un año de antivirus.

malware firmware rootkit uefi bootkits malware bios firmware ataque
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Malware en macOS: las amenazas reales para usuarios de Mac en 2026
Malware y Virus

Malware en macOS: las amenazas reales para usuarios de Mac en 2026

Ransomware de triple extorsión: cifrado, filtración y acoso
Malware y Virus

Ransomware de triple extorsión: cifrado, filtración y acoso

Grupos de ransomware activos en 2026: quiénes son y cómo operan
Malware y Virus

Grupos de ransomware activos en 2026: quiénes son y cómo operan

← Volver al blog