Una nueva vulnerabilidad crítica ha puesto en jaque a algunas de las distribuciones más populares de Linux. Investigadores descubrieron que es posible burlar las protecciones de arranque seguro (Secure Boot) utilizando una técnica sorprendentemente sencilla: aprovechar los shells de depuración que se activan al fallar repetidamente la contraseña del sistema. Con apenas unos minutos de acceso físico, un atacante puede insertar malware persistente que se ejecuta cada vez que la máquina arranca, incluso después de ingresar contraseñas correctas.
La falla gira en torno al initramfs (Initial RAM Filesystem), una parte esencial del proceso de arranque en Linux que prepara el entorno para desencriptar el disco raíz. A diferencia del kernel o los módulos del sistema, el initramfs no suele estar firmado digitalmente, lo que abre una peligrosa brecha de seguridad.
Cuando un usuario falla varias veces al ingresar la contraseña del disco cifrado, muchas distribuciones lanzan un shell de emergencia. Desde este entorno, un atacante puede montar una memoria USB con scripts maliciosos, desempaquetar el initramfs, modificarlo e inyectar código malicioso, y luego volver a empaquetarlo sin dejar señales evidentes. Todo esto sin necesidad de explotar vulnerabilidades complejas ni romper cifrados.
Distribuciones afectadas y técnicas del ataque
El informe, liderado por el investigador Alexander Moch, muestra que distribuciones como Ubuntu 25.04, Debian 12, Fedora 42 y AlmaLinux 10 son vulnerables a esta técnica. En Ubuntu, bastan tres intentos fallidos de contraseña para acceder al shell. En Debian, simplemente mantener presionada la tecla Enter durante un minuto puede abrir la puerta.
Algunas barreras técnicas existen, como en Fedora y AlmaLinux, donde falta el módulo usb_storage en el initramfs por defecto. Sin embargo, un atacante puede reiniciar el sistema usando Ctrl+Alt+Supr y elegir el modo de rescate para evadir esta restricción.
Una excepción destacada es OpenSUSE Tumbleweed, que resulta inmune gracias a su cifrado predeterminado de la partición de arranque.
Cómo protegerse: soluciones inmediatas y avanzadas
Para usuarios y administradores preocupados, existen medidas claras que pueden cerrar esta puerta trasera:
- Agregar panic=0 (en sistemas basados en Ubuntu) o rd.shell=0 rd.emergency=halt (en sistemas Red Hat) en los parámetros del kernel. Esto evita que el sistema brinde acceso al shell durante fallos en el arranque.
- Proteger el bootloader con contraseña.
- Implementar cifrado en la partición de arranque (LUKS) y usar el cifrado nativo del SSD.
- Usar Unified Kernel Images (UKIs), que combinan kernel e initramfs en un solo archivo firmado.
- Aprovechar Trusted Platform Modules (TPM) para verificar la integridad del sistema al iniciar.
¿Qué tan grave es esta vulnerabilidad?
Los expertos la catalogan como un típico ataque tipo “evil maid”, en el que el atacante requiere un corto acceso físico al dispositivo —como si alguien colocara malware mientras dejas tu laptop en el hotel o en una oficina—. Pero su simplicidad, efectividad y posibilidad de persistencia silenciosa hacen que muchos analistas la consideren una de las fallas de seguridad física más preocupantes en Linux en los últimos años.