Ventoy se ha posicionado como una popular herramienta que permite crear un pendrive multiboot, y como tal, su objetivo es que los usuarios puedan copiar múltiples archivos ISO a un pendrive y arrancarlos directamente sin necesidad de extraerlos o modificarlos.

iVentoy, creada por el mismo desarrollador de Ventoy, es una solución de arranque por red (PXE), la cual ofrece al usuario la posibilidad de dejar de lado el uso de un USB y en su lugar convertir su PC en un servidor desde el cual otros equipos pueden arrancar imágenes ISO a través de la red local, sin necesidad de ningún medio físico conectado a ellos.

Actualmente, iVentoy se ha visto envuelto en una situación que ha generado inquietud en la comunidad de software libre, ya que hace poco se detectó un comportamiento sospechoso.

El incidente involucra la sustitución del controlador httpdisk.sys en Windows durante el proceso de arranque por red, además de la instalación de un certificado autofirmado en el almacén de certificados del sistema operativo, lo que provocó alertas de seguridad por parte de soluciones antivirus y críticas desde varios frentes del ecosistema libre.

Ventoy instala controladores del kernel de Windows inseguros

iVentoy https://github.com/ventoy/PXE/releases

iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
Todos estos archivos de distribución contienen «\data\iventoy.dat» que la aplicación iventoy descifra en RAM en «\data\iventoy.dat.xz».

Sospechas y alarmas

El archivo en cuestión, httpdisk.sys, forma parte del mecanismo de iVentoy para montar imágenes de disco a través de HTTP durante instalaciones de Windows. Sin embargo, suplantar controladores del sistema y manipular certificados genera inevitablemente desconfianza. Hasta 31 de los 70 antivirus utilizados para escanear el archivo marcaron una advertencia por presencia de posibles amenazas, lo que alimentó la percepción de que iVentoy podría estar incluyendo una puerta trasera encubierta.

Esta situación ha revivido la preocupación por la seguridad en herramientas ampliamente utilizadas en entornos de despliegue y pruebas de sistemas operativos, especialmente a raíz del escándalo con XZ Utils, donde también se introdujo código malicioso disfrazado como funcionalidad legítima. El proyecto Ventoy, del que iVentoy es un derivado funcional, ya había sido señalado anteriormente por el uso de blobs binarios sospechosos en su código fuente.

Reacciones de la comunidad: búsqueda de alternativas

La comunidad no tardó en reaccionar, pues los desarrolladores de NixOS, por ejemplo, propusieron reemplazar Ventoy en el repositorio nixpkgs con una bifurcación mantenida por el usuario fnr1r, mientras que otras voces plantearon considerar alternativas como glim. Esta desconfianza se debe a que Ventoy e iVentoy comparten autoría y filosofía, aunque con diferencias: Ventoy es completamente abierto y se centra en el arranque desde USB, mientras que iVentoy es parcialmente cerrado y está orientado al arranque por red (PXE).

El autor responde: cambios prometidos

El desarrollador responsable de ambos proyectos intervino en el debate con una explicación técnica del comportamiento observado. Según él, httpdisk.sys es un controlador de código abierto cuyo propósito es montar discos remotos vía HTTP, necesario para el funcionamiento de iVentoy. La inserción del certificado autofirmado sería una medida para permitir que el controlador se cargue sin restricciones en el entorno WinPE (Windows Preinstallation Environment), y no afecta al sistema operativo Windows instalado en disco.

iVentoy seguirá siendo de código cerrado.

Se dice que httpdisk.sys es un controlador de código abierto y no es inseguro.
De hecho, cuando iVentoy arranca Windows mediante PXE, arranca WinPE en modo de prueba, por lo que no es necesario firmar el archivo del controlador. Por lo tanto, httpdisk_sig.sys no es necesario y se puede eliminar posteriormente.

Además, el controlador httpdisk se instalará solo en el entorno temporal WinPE (que se ejecuta en la RAM), no en el sistema Windows final, por lo que no afectará al sistema Windows final instalado en el disco duro.

PXE depende de la red, por lo que el controlador httpdisk se utiliza para obtener los datos de instalación de Windows del servidor al cliente mediante http.
Además, no se instalará en el sistema Windows final.

Asegura, además, que este comportamiento está documentado y que el uso del certificado se limita a un entorno RAM efímero. Como respuesta directa a las críticas, anunció que en la versión 1.0.21 de iVentoy ya se ha detenido la instalación del certificado autofirmado. En su lugar, se utiliza WDKTestCert, una firma de prueba proporcionada por el kit de desarrollo de controladores de Windows (WDK). También se han añadido explicaciones en la documentación del proyecto para aclarar la función de httpdisk.sys y la distinción entre Ventoy e iVentoy como productos separados.

Respecto a los binarios precompilados incrustados en Ventoy, el autor aclaró que estos provienen de proyectos de código abierto existentes y que se utilizan sin modificaciones. No obstante, reconoció que podrían evitarse preocupaciones si los usuarios optan por compilar sus propias versiones desde el código fuente, algo que puede realizarse mediante GitHub CI.

Finalmente si estás interesado en poder conocer más al respecto, pueds consultar los detalles en el siguiente enlace.