Fallo en Linux Permite a Hackers Saltar el Arranque Seguro con una USB

Al igual que Windows y macOS, las distribuciones de Linux también cuentan con medidas de seguridad importantes, como el cifrado del disco y el arranque seguro, que ayudan a proteger tu equipo frente a amenazas externas, especialmente virus y malware.

Estas defensas funcionan muy bien a nivel de software y te mantienen protegido la mayor parte del tiempo. Pero hay un detalle importante: cuando alguien tiene acceso físico a tu ordenador, las cosas se complican. Y es justo ahí donde entra en juego una vulnerabilidad crítica que acaba de ser descubierta en Linux.

Esta falla afecta a distros modernas como Ubuntu, Fedora y otras que usan shells de depuración, permitiendo que atacantes infecten tu sistema con malware persistente que puede robar información o incluso destruir el sistema operativo desde adentro, sin que te des cuenta.

A continuación, te contamos cómo funciona esta amenaza, por qué es tan preocupante y, lo más importante, qué puedes hacer para proteger tu equipo.

Nuevo ciberataque a Linux desde USB: Instalan malware sin que lo notes

Este nuevo tipo de ataque físico está poniendo en riesgo a los usuarios de Linux: una simple memoria USB puede instalar malware persistente en tu sistema sin que te enteres.

El responsable de dar la voz de alerta es Alexander Moch, investigador de seguridad en ERNW, quien descubrió una peligrosa vulnerabilidad (identificada como CVE-2025-3052) que permite a los atacantes burlar tanto el cifrado del disco como el arranque seguro en varias distribuciones de Linux.

Y eso no es todo: incluso herramientas como GRUB, que normalmente protegen el arranque del sistema mediante contraseña, no son suficientes para detener este tipo de ataques.

¿Cómo funciona el ataque?

Según Moch, el ataque comienza cuando un atacante conecta una memoria USB modificada a un equipo vulnerable. En esa unidad se incluye un archivo initramfs alterado, que permite ejecutar scripts arbitrarios durante el arranque del sistema.

Lo más preocupante es que este proceso no modifica las firmas oficiales del kernel, por lo que el sistema sigue creyendo que todo está en orden. Esto significa que el malware se instala sin levantar sospechas y se ejecuta la próxima vez que inicies y desbloquees tu equipo.

Paso a paso del ataque físico con USB

El procedimiento, aunque suene técnico, es relativamente sencillo para alguien con conocimientos. Así funciona:

1. El atacante conecta la USB al equipo apagado.

2. Durante el arranque, presiona Esc, seguido de Ctrl+C tres veces.

3. Espera unos segundos y luego repite Ctrl+C seis veces para acceder a la consola.

4. Desde allí, el sistema ya ha cargado el initramfs modificado que inyecta el malware en segundo plano.

Así, el atacante puede tomar control del sistema, sin necesidad de contraseñas ni interacción adicional.

Conoce más sobre: Los Sistemas Operativos que Prefieren los Hackers en 2025

Distribuciones de Linux Afectadas

Las distribuciones más afectadas hasta el momento son:

1. Ubuntu 25.04

2. Fedora 42

3. Otras distros basadas en ellas que utilizan shells de depuración durante el arranque.

No se descarta que otras versiones o distribuciones también puedan ser vulnerables si usan configuraciones similares.

¿Qué hace el malware instalado?

Una vez dentro, el malware puede hacer bastante daño:

1. Roba contraseñas y datos personales

2. Instala keyloggers para registrar lo que escribes

3. Accede a información sensible

4. Toma el control total del sistema

5. Puede incluso romper completamente tu instalación de Linux

Además, al ser persistente, no desaparece tras reiniciar ni se elimina fácilmente.

Podría interesarte leer: NimDoor Crypto-Theft: Malware para Mac que Sobrevive a la Eliminación

¿Por qué es tan grave esta vulnerabilidad?

Lo más preocupante es que este ataque evade las principales medidas de seguridad de Linux: el cifrado del disco, el arranque seguro (Secure Boot) y la protección con contraseña en GRUB. Todo eso queda inservible si alguien puede acceder físicamente a tu equipo con una USB maliciosa.

Y como todo ocurre antes de que el sistema operativo cargue completamente, ni los antivirus ni los firewalls pueden hacer nada. El ataque actúa en el nivel más bajo del sistema.

¿Cómo protegerte del fallo en Secure Boot en Linux?

Si estás usando Linux y te preocupa la reciente vulnerabilidad relacionada con Secure Boot, hay varias medidas que puedes tomar desde ya para reforzar la seguridad de tu sistema y evitar que un atacante lo comprometa a través del arranque.

Una de las más efectivas, según los expertos, es hacer un pequeño ajuste en los parámetros del kernel. Básicamente, se trata de evitar que el sistema acceda a una shell de depuración si algo falla durante el arranque. ¿Cómo se hace? Muy fácil:

1. En sistemas basados en Ubuntu, añade: panic=0

2. En distribuciones como Red Hat, agrega: rd.shell=0 rd.emergency=halt

    

Este cambio hace que el sistema se detenga por completo en caso de error, en lugar de abrir una consola que un atacante podría usar para inyectar código malicioso.

Refuerza el arranque y el cifrado del disco

Además del ajuste en el kernel, hay otros pasos que puedes seguir para blindar aún más tu equipo:

1. Activa la contraseña en el cargador de arranque (GRUB). Así, cada vez que alguien intente modificar las opciones de arranque o acceder al modo de recuperación, se pedirá una contraseña.
   
   
2. Cifra el disco duro completo, incluyendo la partición de arranque. Puedes usar herramientas como LUKS para cifrar el disco o la partición de arranque si estás usando SSD. Esto evita que el atacante pueda acceder a los datos incluso si tiene acceso físico.
   
   
3. Revisa y bloquea el arranque desde USB en la BIOS/UEFI, y protege esta configuración con contraseña.

En resumen: aunque este fallo es serio, tienes formas prácticas y efectivas de proteger tu equipo Linux hoy mismo. A veces, un par de líneas en la configuración pueden hacer la diferencia entre estar expuesto o estar un paso adelante de los atacantes.