Rootkit UEFI
¿Qué es Rootkit UEFI?
Rootkit UEFIRootkit alojado en el firmware UEFI que se carga antes que el SO, sobrevive a borrados de disco y evade la mayoría de las soluciones de seguridad de endpoint.
Un rootkit UEFI se aloja en la Unified Extensible Firmware Interface —el sucesor moderno del BIOS—, normalmente en módulos de la flash SPI o en controladores de arranque. Se ejecuta antes que el sistema operativo, por lo que puede desactivar controles de seguridad, modificar componentes de arranque y volver a desplegar otro malware tras reinstalaciones del SO. Suele ser desplegado por actores con recursos, mediante privilegios de kernel, acceso físico o compromisos en la cadena de suministro. Las defensas incluyen Secure Boot obligatorio, actualizaciones firmadas, arranque medido con atestación basada en TPM, herramientas de integridad del fabricante (p. ej., CHIPSEC), Boot Guard, protección contra escritura del BIOS y controles de integridad en la cadena de suministro de actualizaciones.
● Ejemplos
- 01
LoJax, primer rootkit UEFI conocido públicamente en uso real.
- 02
Bootkits UEFI MoonBounce y BlackLotus dirigidos a empresas.
● Preguntas frecuentes
¿Qué es Rootkit UEFI?
Rootkit alojado en el firmware UEFI que se carga antes que el SO, sobrevive a borrados de disco y evade la mayoría de las soluciones de seguridad de endpoint. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa Rootkit UEFI?
Rootkit alojado en el firmware UEFI que se carga antes que el SO, sobrevive a borrados de disco y evade la mayoría de las soluciones de seguridad de endpoint.
¿Cómo defenderse de Rootkit UEFI?
Las defensas contra Rootkit UEFI combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Rootkit UEFI?
Nombres alternativos comunes: Implante UEFI, Bootkit EFI.