Cuando piensa en el Modo a prueba de fallos, su primera asociación es reducir el riesgo de ataques maliciosos para su equipo. Dado que el Modo a prueba de fallos sólo funciona con programas esenciales y de primera calidad en Windows, a menudo se utiliza para solucionar diversos problemas de seguridad y otros problemas del sistema.
Sin embargo, hay una contradicción. Aunque el propósito del Modo a prueba de fallos es proporcionar un entorno libre de riesgos, en realidad puede dejar su ordenador en peligro si un hacker saca el máximo provecho de él. Según los investigadores de CyberArk Labs , aunque no ejecutar la mayoría de los programas es realmente bueno para su seguridad, también puede ser muy malo al mismo tiempo.
Si un atacante tiene acceso remoto al equipo de un usuario, puede arrancar en Modo seguro y lanzar un ataque. Dado que todos los posibles programas de seguridad y antivirus están desactivados, no habría nada para detener un software malicioso.
«Claro, el atacante puede forzar arbitrariamente un reinicio, pero esto probablemente parecerá sospechoso para el usuario y provocará una llamada telefónica al equipo de TI» , dice el investigador de CyberArk Doron Naim escribiendo en el blog de la compañía . «En su lugar, para no ser detectado, el atacante también puede esperar hasta el próximo reinicio o mostrar a la víctima una ventana deactualización con un mensaje que dice que el PC debe ser reiniciado. Esta ventana deactualización puede ser diseñada a propósito para que parezca una ventana emergente legítima de Windows».
Una vez que los atacantes están en Modo a prueba de fallos, pueden capturar fácilmente datos de usuarios importantes como credenciales e incluso ejecutar ataques pass-the-hash para entrar en otros equipos de la misma red.
Aunque es casi imposible eliminar completamente este riesgo, existen algunas medidas de seguridad recomendadas para las empresas. Los administradores pueden eliminar los privilegios de administrador de los usuarios normales para que los atacantes no puedan cambiar del modo normal al modo seguro, rotar las credenciales privilegiadas, hacer que las herramientas de seguridad estén disponibles en el modo seguro y supervisar de forma continua cualquier actividad sospechosa que implique que los equipos se inicien en el modo seguro.