- Intel AMT ofrece gestión remota potente pero amplía la superficie de ataque del sistema.
- Vulnerabilidades como CVE-2017-5689 hacen imprescindible actualizar firmware.
- La desactivación puede hacerse vía Windows, menú AMT y BIOS, según el equipo.
- Proteger BIOS y cambiar contraseñas por defecto es clave para asegurar la plataforma.
Deshabilitar Intel AMT (Active Management Technology) se ha vuelto una prioridad para muchos usuarios avanzados, administradores de sistemas y personas preocupadas por la privacidad. Intel AMT forma parte de la Intel Management Engine (ME) y permite la gestión remota de equipos incluso cuando el sistema operativo está apagado o no responde, lo que es muy útil en entornos corporativos, pero también introduce una superficie de ataque nada despreciable.
En los últimos años se han descubierto vulnerabilidades graves en Intel AMT, algunas de ellas permitiendo elevación de privilegios y control remoto no autorizado sobre equipos afectados. Esto ha hecho que muchos usuarios quieran desactivarlo por completo, ya sea desde BIOS, desde el propio menú de AMT o incluso con herramientas específicas en Windows. En este artículo vamos a ver en detalle los síntomas, causas, riesgos, métodos de desactivación y consideraciones importantes antes de tocar nada.
Síntomas: ¿Cómo saber si Intel AMT puede ser un problema?
No siempre es evidente que tu equipo tenga Intel AMT activo. Muchos portátiles y sobremesas con Intel vPro (y algunos sin vPro pero con Intel Standard Manageability) lo incluyen, y en ocasiones viene configurado de fábrica por el fabricante o la empresa que ha gestionado el equipo.
Un primer indicio es la presencia de pegatinas o logotipos relacionados con Intel vPro o Intel AMT en el portátil, sobremesa o incluso en la documentación comercial. Si ves referencias a “Intel® vPro™ Technology”, “Intel Active Management Technology” o similares, es bastante probable que tu máquina disponga de esta funcionalidad de gestión remota.
Otro síntoma es la existencia de servicios y procesos relacionados con Intel Management Engine o Intel Local Management Service (LMS) en Windows. Por ejemplo, ver un proceso llamado LMS.exe (Intel Local Management Service) o drivers específicos de Intel ME puede indicar que la parte de software de gestión está presente y potencialmente activa.
En algunos equipos se puede acceder al menú de Intel AMT durante el arranque pulsando una combinación de teclas como CTRL + P. Si al encender el ordenador y antes de que cargue el sistema operativo, al pulsar esa combinación aparece un menú de configuración de Intel AMT, es una señal clara de que esta tecnología está disponible y posiblemente habilitada.
Los usuarios más avanzados también pueden detectar la presencia de AMT a través de herramientas de inventario, documentación de la placa base o del fabricante (por ejemplo, en modelos Intel NUC, ThinkPad X1, etc.), donde suele mencionarse explícitamente si el equipo soporta Intel Active Management Technology, Intel Standard Manageability o Intel Small Business Technology.
Causa: qué es Intel AMT y por qué supone un riesgo
Intel AMT es una tecnología de gestión remota integrada a nivel de firmware que forma parte de la Intel Management Engine. Permite a administradores de sistemas y empresas gestionar equipos a distancia, encenderlos, apagarlos, instalar sistemas, monitorizarlos o incluso acceder a ellos aunque el sistema operativo esté caído o apagado, siempre que el equipo tenga alimentación y conexión de red.
El problema es que esta potencia de gestión también abre la puerta a vulnerabilidades críticas. En mayo de 2017, la empresa de seguridad Embedi descubrió una vulnerabilidad de escalada de privilegios en Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) e Intel Small Business Technology que afectaba a firmware de las versiones 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 y 11.6. Esta vulnerabilidad quedó registrada como CVE-2017-5689.
La vulnerabilidad permitía que un atacante sin privilegios obtuviera control sobre las funciones de gestión proporcionadas por estos productos, lo que implica que podría administrar el equipo como si fuera un administrador remoto legítimo. Embedi publicó un documento técnico detallando el problema, conocido como “Silent Bob is Silent”, en el que se explican los detalles de la falla y cómo puede explotarse.
La importancia de esta vulnerabilidad es que afecta a un nivel muy bajo del sistema, independiente en gran medida del sistema operativo. Un atacante que se aproveche de una falla en Intel AMT puede saltarse muchas de las protecciones habituales del sistema, lo que convierte a esta tecnología en un objetivo muy atractivo para ciberdelincuentes.
Además, Intel AMT no se limita solo a procesadores vPro. En algunos casos también se encuentra activo en procesadores sin vPro, bajo la denominación de Intel Standard Manageability, ofreciendo un subconjunto de funcionalidades. Esto significa que equipos que aparentemente no están diseñados para grandes entornos corporativos también pueden estar expuestos.
Otra causa de preocupación es la falsa sensación de “desactivación”. Algunos usuarios deshabilitan opciones relacionadas con Intel AT o Computrace en la BIOS creyendo que así bloquean AMT por completo. Sin embargo, en muchos equipos desactivar un menú de AMT en BIOS solo desactiva el acceso al menú de configuración al arrancar, pero no necesariamente toda la funcionalidad de AMT o de Intel ME.
Riesgos de seguridad asociados a Intel AMT
La principal consecuencia de tener Intel AMT activo y vulnerable es que tu máquina puede quedar expuesta a ataques remotos. Si un atacante consigue aprovechar una vulnerabilidad como la CVE-2017-5689, podría asumir el control de las capacidades de gestión del equipo sin necesidad de credenciales de alto nivel.
Esto puede traducirse en acceso remoto persistente, instalación de malware a muy bajo nivel, manipulación del sistema independientemente del estado del sistema operativo, e incluso espionaje o robo de datos sin que el usuario note nada extraño. Dado que la gestión sucede “por debajo” de Windows, Linux o cualquier otro sistema instalado, muchas soluciones de seguridad convencionales pueden no ver lo que está ocurriendo.
Los equipos profesionales y corporativos son un objetivo prioritario, especialmente portátiles y sobremesas con Intel vPro. Marcas como HP, Lenovo, Dell, Fujitsu, Acer, Asus, Panasonic e incluso los propios productos Intel (como algunas NUC, Compute Stick y determinadas placas base de escritorio) publicaron avisos de seguridad y firmware actualizados para mitigar el problema.
Otro riesgo es que el usuario crea que ha desactivado AMT cuando en realidad solo ha ocultado el menú. Por ejemplo, algunos usuarios han deshabilitado Computrace y configuraciones de Intel AT en la BIOS y luego han descubierto que AMT seguía estando disponible internamente, simplemente sin mostrar la opción al arrancar. En ese caso, la “cagada”, como muchos la llaman coloquialmente, es haber desactivado accesos visibles pero no la raíz del problema.
Si tu equipo es vulnerable y no tiene el firmware actualizado, aunque intentes mitigar el problema con configuraciones parciales, puedes seguir en riesgo. La forma más robusta de mitigar vulnerabilidades conocidas es instalar las actualizaciones de firmware proporcionadas por el fabricante del equipo, además de desactivar AMT si no lo necesitas.
Cómo deshabilitar Intel AMT desde Windows con una herramienta específica
Para usuarios de Windows existe una herramienta llamada DisableAMT, pensada para desactivar Intel AMT en sistemas operativos Windows de 32 y 64 bits. Esta utilidad automatiza los pasos de mitigación documentados en la guía oficial de Intel para el boletín INTEL-SA-00075.
El funcionamiento básico de esta herramienta es sencillo: se descarga el ejecutable DisableAMT.exe (también disponible como DisableAMT.zip), se ejecuta en el sistema y el script interno se encarga de desconfigurar AMT siguiendo las recomendaciones oficiales. Al finalizar, se muestra una pantalla final y se genera un archivo de registro con todo lo que se ha hecho.
Durante la ejecución, la herramienta pregunta si quieres desactivar también el servicio LMS renombrando el archivo LMS.exe (Intel Local Management Service). Para ello, el script solicita que introduzcas Y o N dependiendo de si deseas que lo haga de forma automática. Una vez completado el proceso, se recomienda reiniciar el equipo para que los cambios tomen efecto.
Esta utilidad está desarrollada en forma de script por lotes (batch) y se ha compilado a ejecutable utilizando la versión gratuita de Quick Batch File Compiler. Después, se ha compactado con UPX para reducir el tamaño del archivo. Dentro del ejecutable se incluyen componentes necesarios como ACUConfig.exe y ACU.dll procedentes del paquete Intel Setup and Configuration Software, que son los encargados de aplicar los cambios de configuración sobre el firmware de AMT.
Para garantizar la integridad de la herramienta, se proporcionan hashes MD5, SHA1 y SHA256 de los ficheros principales: DisableAMT.exe, DisableAMT.zip, ACUConfig.exe y ACU.dll. Comprobar estos hashes permite verificar que el archivo descargado no ha sido modificado o manipulado por terceros, lo cual es especialmente importante en utilidades que tocan componentes de bajo nivel.
Tras ejecutar DisableAMT y reiniciar, es aconsejable comprobar que los servicios relacionados, como el servicio Intel RST, están efectivamente deshabilitados, que AMT ya no se encuentra configurado y que el acceso remoto vía esta tecnología está neutralizado. Aunque esta herramienta ofrece una mitigación práctica, el paso más crítico sigue siendo tener el firmware de Intel actualizado a la versión recomendada por el fabricante.
Actualizaciones de firmware y recursos de los fabricantes
Uno de los consejos más repetidos por expertos en seguridad es actualizar el firmware de la plataforma Intel ME/AMT a la última versión disponible que corrija vulnerabilidades como la CVE-2017-5689. Intel publicó su propio aviso de seguridad y trabajó con los fabricantes para que distribuyeran actualizaciones para sus equipos.
Los principales fabricantes crearon páginas específicas con información y firmware para mitigar el problema. Por ejemplo, HP cuenta con recursos para equipos HP Inc. y HP Enterprise, Lenovo tiene su propio boletín de seguridad con enlaces a descargas, y Dell, Fujitsu, Acer, Asus o Panasonic publicaron también sus listados de productos afectados y parches.
Es recomendable consultar directamente la página de soporte de tu fabricante buscando el modelo exacto de tu portátil, NUC o sobremesa. Allí suelen indicar si tu configuración de hardware está afectada por las vulnerabilidades de Intel AMT/ME y qué versión de BIOS o firmware debes instalar para corregirlas.
En el caso de dispositivos como Intel NUC, Compute Stick o placas base de escritorio de Intel, el propio fabricante ofrece firmware actualizado y herramientas para flashearlo. A menudo también incluyen documentación específica para desactivar o limitar la funcionalidad de AMT si el usuario no la necesita.
Si nunca has actualizado la BIOS o el firmware de tu equipo, es importante que sigas cuidadosamente las instrucciones del fabricante. Un error en el proceso de actualización podría dejar la placa base inservible, así que conviene leer guías oficiales (e incluso tutoriales genéricos como los de wikiHow) y asegurarse de alimentar el equipo con una fuente estable durante el proceso.
Desactivar Intel AMT desde el propio menú de AMT
En muchos equipos con Intel AMT, la primera forma de gestión es el propio menú de AMT accesible durante el arranque. Para entrar en este menú suele utilizarse la combinación de teclas CTRL + P justo cuando el ordenador empieza a encenderse, antes de que aparezca el logo del sistema operativo.
La primera vez que accedes a este menú, la contraseña por defecto suele ser “admin”. Nada más iniciar sesión por primera vez, el sistema te obligará a cambiar esta contraseña por una más segura. Es muy importante establecer una contraseña robusta, ya que este panel de control tiene acceso directo a la configuración de gestión remota del equipo.
Dentro del menú de Intel AMT encontrarás opciones relacionadas con la Intel Management Engine. Un paso común para reducir la exposición es desactivar el “Intel Management Engine State Control”, lo que limita o apaga en parte las capacidades de gestión.
Un procedimiento típico para deshabilitar el estado de la Intel ME es entrar en las opciones de Intel ME General Settings, seleccionar Intel ME State Control, elegir la opción Disable y luego volver al menú anterior. Al aplicar este cambio, la máquina suele reiniciarse automáticamente para que la desactivación surta efecto.
Aunque después de desactivar el estado de Intel ME todavía se pueda acceder al menú de AMT, si vuelves a activarlo debería utilizar la contraseña que has configurado y no el valor por defecto. Esto es importante para evitar que cualquiera con acceso físico al equipo pueda entrar al panel con la clave “admin”.
Deshabilitar Intel AMT desde la BIOS o UEFI
En muchos portátiles y sobremesas modernos la forma más definitiva de deshabilitar Intel AMT es a través de la BIOS o UEFI. Aquí la experiencia varía bastante entre fabricantes y modelos, por lo que es fundamental conocer dónde se encuentra el ajuste en tu equipo concreto.
En portátiles Lenovo, por ejemplo, la opción de Intel AMT suele aparecer bajo el menú “Config” de la BIOS. Una vez dentro de esta sección, lo normal es encontrar una entrada llamada “Intel AMT” o similar. Al entrar, deberías poder seleccionar “Disable” para desactivarlo y luego guardar los cambios antes de salir.
Sin embargo, algunos usuarios con equipos como el Lenovo X1 Extreme Gen1 vPro han informado de que no encuentran ninguna opción visible de AMT/MEI en BIOS, a pesar de disponer de una versión relativamente reciente (por ejemplo, BIOS v1.30). En esos casos, incluso configurando el “Boot Mode” en “Diagnostics” e intentando usar CTRL + P al arrancar, el menú de AMT no aparece.
Esto puede ocurrir porque el fabricante haya ocultado la opción o porque el firmware de BIOS no permita desactivarla fácilmente. A veces la única forma de acceder o deshabilitar AMT es mediante versiones específicas de BIOS, modos ocultos o herramientas OEM internas, lo cual complica bastante las cosas para el usuario final.
Hay que tener en cuenta también un detalle crítico: en ciertas versiones de Intel AMT, el intento de desactivar el “Intel Management Engine State Control” puede provocar que la contraseña de AMT se restablezca a los valores de fábrica. Esto significa que, si no se hace correctamente o si la versión es problemática, podrías dejar el sistema otra vez accesible con la contraseña “admin”.
Por eso algunos documentos advierten expresamente de que en determinadas versiones de AMT no se debe desactivar el Intel ME State Control, ya que esto invalidaría la protección de contraseña. Antes de hacerlo, conviene asegurarse de que tienes instalada la última versión de BIOS y de que el fabricante indica que el proceso es seguro para tu modelo concreto.
Buenas prácticas de seguridad al configurar o desactivar AMT
Más allá de desactivar Intel AMT, hay una serie de buenas prácticas que conviene aplicar si vas a tocar la BIOS, el menú de AMT o la Intel Management Engine. Estas medidas ayudan a evitar que, al intentar mejorar la seguridad, acabes abriendo nuevas puertas sin querer.
Lo primero es establecer una contraseña segura de supervisor en la BIOS. Muchos equipos permiten bloquear el acceso a la configuración de BIOS/UEFI mediante una contraseña de “Supervisor” o “Administrator”. Configurar esta clave impide que alguien con acceso físico al equipo cambie ajustes críticos de arranque o gestione Intel AMT sin tu permiso.
En segundo lugar, es fundamental cambiar la contraseña por defecto de AMT si en algún momento lo has tenido habilitado. Dejar “admin” como clave de acceso es un error grave, ya que cualquiera que sepa cómo entrar al menú puede obtener control total sobre las funciones de gestión remota.
Otra buena práctica es verificar, tras deshabilitar AMT, que no se ha restablecido la contraseña a valores de fábrica. Un método típico consiste en: habilitar AMT en BIOS, guardar cambios, reiniciar y entrar a AMT con CTRL + P. Si al intentar iniciar sesión la contraseña “admin” ya no funciona, significa que el cambio de clave se mantiene correctamente y no se ha reseteado sin tu consentimiento.
Por último, es recomendable documentar todos los cambios que realices en BIOS y en AMT, sobre todo en entornos profesionales. Llevar un registro de qué se ha tocado y cuándo facilita mucho las tareas de auditoría de seguridad y te permite revertir cambios si algo deja de funcionar como esperabas.
Aunque Intel AMT puede ser muy útil en empresas con miles de equipos dispersos, en entornos domésticos o de pequeña oficina donde no se usa para gestión remota, suele ser preferible limitarlo o apagarlo, especialmente si no se tiene un control estricto de actualizaciones de firmware y configuraciones de red.
En definitiva, si tu máquina soporta Intel AMT, lo más sensato es combinar varias capas de protección: firmware actualizado, desactivación de AMT si no se necesita, contraseñas fuertes en BIOS y en el propio AMT, y verificación de que los cambios no han reactivado contraseñas por defecto. De esta forma reduces al mínimo los riesgos derivados de esta potente pero delicada tecnología.
Con todo lo anterior en mente, deshabilitar Intel AMT deja de ser un misterio para convertirse en un proceso relativamente controlado, en el que entiendes qué estás tocando, por qué puede ser peligroso dejarlo activo sin control y qué pasos concretos puedes seguir desde Windows, desde el menú de AMT y desde la BIOS para dormir mucho más tranquilo con tu equipo.
