Microsoft bloquea a desarrolladores de código abierto: VeraCrypt y WireGuard en riesgo en Windows
Microsoft suspendió de forma repentina las cuentas de desarrolladores de herramientas clave de código abierto—VeraCrypt, WireGuard, MemTest86 y Windscribe—dentro del Programa de Hardware de Windows. Sin una firma digital válida, no se pueden lanzar actualizaciones de controladores para Windows, poniendo en peligro la seguridad de millones de usuarios. VeraCrypt es especialmente vulnerable debido a la próxima revocación de su certificado raíz de 2011.
Cronología del incidente
El 30 de marzo de 2026, el creador de VeraCrypt, Munir Idrassi, descubrió que su cuenta estaba bloqueada en el Centro de Aliados de Microsoft. La apelación fue rechazada sin explicación. De forma similar, el mantenedor de WireGuard, Jason Donenfeld, no pudo publicar una actualización; su cuenta estaba bloqueada, lo que activó un proceso de apelación de 60 días.
Los desarrolladores destacan que no hubo advertencias previas. Microsoft introdujo la verificación obligatoria de socios a partir del 16 de octubre de 2025—30 días para cumplir, seguidos de suspensión automática. Aunque se afirmó que se enviaron correos electrónicos, los destinatarios nunca los recibieron.
El vicepresidente de Microsoft, Scott Hanselman, se contactó tras la cobertura mediática, prometiendo una solución. Hasta ahora, las cuentas afectadas permanecen inactivas.
Consecuencias técnicas para los proyectos
VeraCrypt: La versión 1.26.24 actualmente utiliza el certificado de Autoridad de Certificados Raíz de Microsoft 2011, que será revocado en 2026. Sin un nuevo cargador de arranque firmado, la cifrado de disco completo (FDE) fallará bajo SecureBoot. Las particiones no sistemáticas (contenedores, particiones) se ven menos afectadas.
WireGuard y Windscribe: El bloqueo impide parches de Windows—donde la mayoría de los usuarios ejecutan estas herramientas. Una vulnerabilidad crítica de ejecución remota de código (RCE) requiere 60 días para corregirse; las actualizaciones para Linux y macOS ya están disponibles.
MemTest86: Los diagnósticos de RAM están en riesgo: las herramientas sin firma no se iniciarán en sistemas con SecureBoot.
- Riesgos clave:
- Retrasos en parches de seguridad superiores a 60 días
- Fallo del cifrado del sistema en VeraCrypt
- Dependencia excesiva del monopolio de firma de controladores de Microsoft
- Ausencia de notificaciones sobre los requisitos de verificación
¿Por qué importan SecureBoot y la firma?
El Programa de Hardware de Windows emite certificados de firma de código EV para controladores y cargadores de arranque. Sin uno, el software no pasa las comprobaciones de SecureBoot—el estándar en todas las PC modernas. Microsoft controla las claves raíz, lo que hace que los proyectos de código abierto sean vulnerables a fallos administrativos.
Dilema: conveniencia de SecureBoot frente a flexibilidad. Los desarrolladores deben depender de un proveedor cuyos procesos son completamente automatizados sin supervisión humana. Esto genera tensión entre la seguridad de la cadena de suministro y la rapidez de las actualizaciones.
Para desarrolladores senior: esto subraya la necesidad de estrategias multiplataforma. Pruebe controladores en WSL2 o máquinas virtuales; monitoree revocaciones de CA mediante la documentación de Microsoft.
Recomendaciones para usuarios y equipos DevOps
- Verifique el estado: Para VeraCrypt, ejecute
veracrypt --version. Si muestra 1.26.24, es la última versión firmada. - Monitoree actualizaciones: Vigile los repositorios de SourceForge y GitHub para anuncios oficiales.
- Alternativas: Utilice BitLocker (integrado) para cifrado del sistema en Windows. Para VPNs, considere OpenVPN con certificados autofirmados—pero entienda los riesgos.
- Estrategia de desarrollo: Implemente pipelines CI/CD con respaldo a controladores sin firma para pruebas; migre cargas críticas a Linux.
- Plan a largo plazo: Considere hardware sin SecureBoot o firmware UEFI personalizado para entornos de producción.
Las versiones actuales aún funcionan, pero las vulnerabilidades sin parchear aumentan el riesgo. Para usuarios de VeraCrypt que dependen del cifrado del sistema, el monitoreo activo es esencial.
Lo que más importa
- Las suspensiones automáticas sin advertencias interrumpieron las cadenas de actualización de cuatro o más proyectos.
- VeraCrypt está en serio peligro: revocar el certificado CA-2011 romperá el cifrado de SecureBoot sin una solución rápida.
- La dependencia de código abierto del proceso de firma de Microsoft representa un riesgo sistémico en todo el ecosistema Windows.
- La presión mediática provocó acción, pero los flujos de verificación necesitan mejoras urgentes.
- Mejor práctica: diversifique plataformas y monitoree activamente las revocaciones de CA.
Lecciones más amplias para la industria TI
Este incidente revela los compromisos del registro de código monopolístico: seguridad versus accesibilidad. Proyectos de código abierto con millones de usuarios (VeraCrypt tiene más de 10 millones de descargas) no deberían depender de procesos opacos controlados por un solo proveedor. Riesgos similares existen en la notarización de Apple y las políticas de Google Play.
Para desarrolladores intermedios y senior: implemente alertas para listas de revocación de certificados (CRL/OCSP). En producción, use configuraciones dual-boot o alternativas contenerizadas.
— Editorial Team
Aún no hay comentarios.