Con la actualización de hoy, Patch Tuesday de abril, Windows 11 activa algo que lleva años anunciado y que la mayoría no sabe que existe. A partir de ahora el sistema deja de fiarse por defecto de los drivers firmados con el sistema antiguo de certificados, el que se usaba antes de 2021. Solo confía en los que han pasado por el proceso oficial de certificación de Microsoft.
¿Por qué lo hacen? Porque hay un tipo de ataque que se llama BYOVD, que básicamente consiste en que el malware carga un driver legítimo pero con fallos de seguridad para colarse en la parte más profunda del sistema operativo y desactivar el antivirus desde dentro. Ha sido la táctica favorita de varios grupos de ransomware en los últimos dos años. Si eliminas la posibilidad de cargar drivers con certificados viejos, esa puerta se cierra bastante.
Lo importante para los que tienen hardware antiguo es que esto no bloquea nada hoy mismo. El sistema arranca en modo auditoría: durante las próximas semanas Windows va registrando qué drivers carga tu equipo sin bloquear ninguno. Si todos los drivers que usas están certificados con el sistema nuevo, en algún momento el sistema pasa solo a modo de cumplimiento. Si algún driver antiguo aparece en esos registros, se queda en modo auditoría indefinidamente hasta que ese driver desaparezca.
Para saber si tu hardware puede estar afectado: abre el Visor de eventos (busca "eventvwr" en el menú Inicio), ve a Registros de Windows > Sistema, y busca eventos de Code Integrity. Los drivers problemáticos empezarán a aparecer ahí antes de que se bloqueen nunca.
¿Qué tipo de hardware tiene más probabilidades de dar guerra? Interfaces de audio de marcas pequeñas, periféricos de juego raros, tarjetas capturadoras viejas, hardware industrial, equipos de laboratorio. Lo más peligroso: hardware de fabricantes que han cerrado y cuyo driver no ha tenido actualización en cinco años. Ahí no hay solución fácil.
Para la mayoría de nosotros con hardware moderno y drivers actualizados esto va a pasar totalmente desapercibido. Pero si tienes algún periférico raro que instalaste hace años y no has tocado, es buen momento para comprobarlo.
¿A alguien le ha dado ya problemas? Dejad aquí qué hardware tenéis y qué os aparece en los logs.
¿Por qué lo hacen? Porque hay un tipo de ataque que se llama BYOVD, que básicamente consiste en que el malware carga un driver legítimo pero con fallos de seguridad para colarse en la parte más profunda del sistema operativo y desactivar el antivirus desde dentro. Ha sido la táctica favorita de varios grupos de ransomware en los últimos dos años. Si eliminas la posibilidad de cargar drivers con certificados viejos, esa puerta se cierra bastante.
Lo importante para los que tienen hardware antiguo es que esto no bloquea nada hoy mismo. El sistema arranca en modo auditoría: durante las próximas semanas Windows va registrando qué drivers carga tu equipo sin bloquear ninguno. Si todos los drivers que usas están certificados con el sistema nuevo, en algún momento el sistema pasa solo a modo de cumplimiento. Si algún driver antiguo aparece en esos registros, se queda en modo auditoría indefinidamente hasta que ese driver desaparezca.
Para saber si tu hardware puede estar afectado: abre el Visor de eventos (busca "eventvwr" en el menú Inicio), ve a Registros de Windows > Sistema, y busca eventos de Code Integrity. Los drivers problemáticos empezarán a aparecer ahí antes de que se bloqueen nunca.
¿Qué tipo de hardware tiene más probabilidades de dar guerra? Interfaces de audio de marcas pequeñas, periféricos de juego raros, tarjetas capturadoras viejas, hardware industrial, equipos de laboratorio. Lo más peligroso: hardware de fabricantes que han cerrado y cuyo driver no ha tenido actualización en cinco años. Ahí no hay solución fácil.
Para la mayoría de nosotros con hardware moderno y drivers actualizados esto va a pasar totalmente desapercibido. Pero si tienes algún periférico raro que instalaste hace años y no has tocado, es buen momento para comprobarlo.
¿A alguien le ha dado ya problemas? Dejad aquí qué hardware tenéis y qué os aparece en los logs.
