Ventoy se ha consolidado como una herramienta popular y eficiente para la creación de unidades USB booteables, facilitando la instalación de sistemas operativos como Windows y Linux con una gran facilidad y versatilidad. Sin embargo, recientes investigaciones y reportes han puesto bajo escrutinio uno de sus proyectos derivados, conocido como iVentoy, que ha generado controversia debido a la inyección de certificados digitales falsos durante la instalación de Windows a través de PXE (Preboot Execution Environment). Esta situación ha provocado un debate profundo sobre la seguridad, la confianza en el software abierto y la vigilancia constante necesaria en herramientas que interactúan a niveles tan críticos del sistema operativo. La polémica comenzó cuando un usuario experto en seguridad informática analizó el paquete de distribución del proyecto iVentoy, que está alojado en GitHub dentro de la organización de Ventoy, aunque cabe destacar que iVentoy es un producto diferente e independiente de Ventoy propiamente dicho. Durante la inspección del archivo "iventoy.
dat" incluido en varias versiones del paquete para Linux y Windows, se descubrió una metodología de cifrado y descifrado en memoria que ocultaba varios archivos sospechosos, especialmente algunos controladores de nivel kernel (drivers) firmados digitalmente con un certificado de Autoridad Certificadora (CA) auto-firmado. Este certificado, identificado como "JemmyLoveJenny EV Root CA0", es un certificado de alta confianza (Extended Validation o EV) falsificado y auto-firmado por los desarrolladores implicados, lo que significa que no está emitido ni validado por una autoridad oficial reconocida. La evidencia encontrada muestra que durante el proceso de arrancar Windows a través de iVentoy en el entorno WinPE (Windows Preinstallation Environment), el software instala programáticamente este certificado en el registro del sistema como un certificado raíz de confianza, justo en la sección donde Windows almacena sus certificados certificadores confiables. A partir de aquí, el software carga una serie de drivers de modo kernel, entre los que se encuentra "httpdisk_sig.sys", un controlador firmado con el mismo certificado falso.
Esto tiene graves consecuencias desde una perspectiva de seguridad informática porque permite que estos drivers, potencialmente maliciosos o no auditados, se carguen en el sistema evitando las restricciones usuales impuestas por Microsoft para proteger el kernel de Windows de software no confiable. La capacidad para instalar y ejecutar controladores arbitrarios a nivel de kernel abre las puertas a ataques persistentes, incluida la posibilidad de rootkits, espionaje o manipulación a nivel de hardware. Los análisis en servicios de reputación y detección de malware como VirusTotal indican que estos componentes tienen numerosas detecciones positivas de virus o software malicioso, lo que aumenta la preocupación de la comunidad y los expertos en seguridad. Sin embargo, los desarrolladores de iVentoy han explicado que estos drivers sólo se cargan en el entorno temporal de instalación WinPE, que ejecuta en memoria y no persiste en el sistema final instalado en el disco duro. Adicionalmente, mencionan que la activación del 'test mode' (modo de pruebas) en WinPE permite la instalación de drivers no firmados sin comprometer la instalación definitiva de Windows.
Esta aclaración ayuda a mitigar en cierta medida la alarma sobre la posibilidad de infecciones permanentes, pero no elimina la cuestión ética y de seguridad sobre la práctica de insertar certificados raíz falsificados y controladores cuestionables incluso en un entorno temporal. La estrategia usada para evitar las estrictas políticas de firma de drivers de Microsoft infecta indirectamente el entorno de instalación de Windows, y aunque los daños en el sistema final pueden ser evitados, el método abre una puerta peligrosa para posibles abusos y ataques dirigidos a la cadena de suministro de software. Además, se ha observado que parte del código asociado incluye fragmentos y proyectos externos relacionados con la creación y uso de certificados falsos, disponibles públicamente en repositorios como GitHub. Esto levanta inquietudes sobre la legitimidad, supervisión y contención de software que manipula componentes críticos y potencialmente peligroso sin un escrutinio riguroso y una transparencia completa. La comunidad técnica ha reaccionado con una mezcla de sorpresa y cautela.
Los usuarios de Ventoy puro —la versión principal orientada a la creación de USBs booteables— están relativamente tranquilos, pues Ventoy y iVentoy son herramientas separadas con objetivos y códigos base distintos. Ventoy no incluye estos controladores ni los certificados problemáticos. Aun así, la confusión al estar ambos proyectos en la misma organización de GitHub ha motivado un debate amplio sobre la responsabilidad de los desarrolladores y plataformas de alojamiento de código para monitorear y controlar software que puede comprometer la seguridad del usuario. Las implicaciones de esta situación son múltiples y nos recuerdan la importancia de mantenerse informados y atentos frente a herramientas esenciales en la administración y despliegue de sistemas operativos. Los certificados digitales y la firma de drivers son mecanismos fundamentales para garantizar la confianza y seguridad en Windows, y la manipulación o falsificación de estos pone en riesgo no solo sistemas individuales, sino toda la infraestructura informática conectada.
