HP "atacó" sus propios portátiles: actualizaciones legítimas se convirtieron en puerta trasera y provocaron la caída de una red corporativa

En los portátiles corporativos HP con chips de IA se produjo una falla masiva en la conexión con la nube de Microsoft después de que la actualización automática de HP OneAgent (versión 1.2.50.9581) eliminara los certificados del sistema responsables de la confianza entre Windows y Entra ID. Como resultado, los dispositivos perdieron el registro en la nube y los usuarios, tras reiniciar, solo podían iniciar sesión con la cuenta administrativa local LAPS.

El problema afectó solo a la nueva generación de modelos HP con la etiqueta AI, incluyendo HP EliteBook X Flip G1i. En los dispositivos habituales OneAgent usa una compilación distinta y la falla no se manifestó. Se descubrió que todos los equipos afectados recibieron automáticamente el paquete SP161710 — el llamado SoftPaq, descargado desde la infraestructura en la nube de HP en la plataforma AWS IoT. Ese paquete contenía el script install.cmd, que eliminaba el componente obsoleto HP 1E Performance Assist.

Dentro del script había una peligrosa línea de PowerShell que eliminaba todos los certificados cuyo nombre contenía la combinación «1E». La lógica era primitiva y no contemplaba excepciones. En algunas configuraciones, el certificado MS-Organization-Access, que confirma la pertenencia del dispositivo a Entra ID, contenía la misma combinación de caracteres. Como resultado, fue eliminado. A veces también desaparecía el certificado Microsoft Intune MDM Device CA, pero Intune puede restaurarlo automáticamente. Sin embargo, la pérdida de MS-Organization-Access provoca la ruptura inmediata de la confianza y la exclusión del dispositivo de Entra ID, sin posibilidad de autorrecuperación.

Los registros de HP OneAgent confirmaron que el iniciador de la actualización fue el servicio en la nube de HP: la solicitud para descargar e instalar el SoftPaq llegó directamente desde el dominio ao8k1tq4n21z2-ats.iot.us-east-1.amazonaws.com. El script se ejecutó con la cuenta del sistema, sin notificaciones al usuario ni control por parte de Intune. La ausencia de un despliegue gradual y de anillos de prueba agravó las consecuencias: la actualización se entregó a todos los dispositivos a la vez.

HP retiró con rapidez el paquete defectuoso y detuvo su distribución, pero las máquinas que ya se actualizaron solo se pueden restaurar manualmente. Para ello es necesario iniciar sesión como administrador local, limpiar las entradas residuales sobre la antigua inscripción en las ramas del registro HKLM:\SOFTWARE\Microsoft\Enrollments y HKLM:\SOFTWARE\Microsoft\Provisioning\OMADM, eliminar las tareas relacionadas EnterpriseMgmt y, a continuación, volver a unir el equipo a Entra ID a través de «Acceso al trabajo o a la escuela». Para evitar bloqueos durante la reconfiguración, se recomienda establecer los parámetros SkipUserStatusPage y SkipDeviceStatusPage.

Si no hay acceso físico, la recuperación es posible a través de Microsoft Defender for Endpoint, usando la función Live Response. Esta permite iniciar de forma remota la limpieza local y la reinstalación de Windows mediante un script WMI que ejecuta el comando RemoteWipe.

En esencia, el error no se debió a código malicioso, sino a una lógica descuidada en una actualización oficial. HP OneAgent, diseñado para el mantenimiento y la actualización de sistemas, eliminó por error certificados críticos que determinan la identidad de los dispositivos en la nube. Al perder MS-Organization-Access, el equipo pierde por completo la conexión con la infraestructura corporativa, y su restauración solo es posible de forma manual.

El caso demostró que incluso los mecanismos legítimos de actualización de un fabricante OEM pueden representar una amenaza para la seguridad corporativa si el control del contenido de los paquetes se realiza sin pruebas multicapa.