Fallos de seguridad en Windows: vulnerabilidades, parches y riesgos reales

Guía Hardware » Guías de compra » Fallos de seguridad en Windows: vulnerabilidades, parches y riesgos reales

La seguridad en Windows atraviesa uno de sus momentos más complicados. Vulnerabilidades en el kernel, fallos en Windows Defender, parches problemáticos y sistemas sin soporte se han juntado en una especie de tormenta perfecta que afecta tanto a Windows 10 como a Windows 11 y a varias versiones de Windows Server. Si usas el sistema operativo de Microsoft a diario, merece la pena pararse un rato y ver qué está pasando exactamente.

En los últimos meses se han encadenado actualizaciones que rompen funciones clave, exploits de día cero sin parche, bugs en copias de seguridad y un parque inmenso de ordenadores con Windows 10 ya sin soporte oficial. Vamos a repasar con calma todos estos problemas, cómo te pueden afectar y qué puedes hacer para minimizar riesgos mientras Microsoft intenta tapar todos estos agujeros.

Actualizaciones de abril: parches que rompen las copias de seguridad

El origen del lío está en VSS (Volume Shadow Copy Service), el servicio interno de Windows que permite crear instantáneas del sistema sin detenerlo. Microsoft, tras las primeras alertas publicadas por Bleeping Computer, confirmó que el fallo se debía al bloqueo del archivo psmounterex.sys, un componente que resultó tener una vulnerabilidad grave que podía ser aprovechada por atacantes.

El problema es que muchas soluciones de backup se apoyaban en ese archivo para montar copias como si fueran unidades de disco y poder explorar, abrir y restaurar archivos. Al quedar bloqueado por Windows debido al riesgo de seguridad, algunos programas dejan de poder montar correctamente las copias, lo que provoca errores en el proceso de recuperación de datos, aunque la creación de las copias pueda seguir funcionando.

Los usuarios afectados están viendo mensajes del tipo «La copia de seguridad ha fallado porque Microsoft VSS ha agotado el tiempo de espera durante la creación de la instantánea» o códigos de error como VSS_E_BAD_STATE. No es solo una molestia: si descubres que no puedes restaurar una copia de seguridad justo cuando la necesitas, el problema pasa a ser crítico.

Según Microsoft, los programas de copia de seguridad más afectados son Acronis Cyber Protect Cloud, Macrium Reflect, NinjaOne Backup y UrBackup Server. En algunos escenarios incluso se pierde la conexión con los servicios en la nube durante el proceso. La recomendación oficial es actualizar estos programas a sus últimas versiones disponibles para que se adapten al bloqueo de psmounterex.sys y funcionen correctamente con el nuevo esquema de seguridad.

Curiosamente, esta vez Microsoft no sugiere desinstalar ni pausar el parche de abril, porque corrige una vulnerabilidad considerada de alto riesgo. Solo si necesitas recuperar datos de manera urgente se contempla como opción desinstalar temporalmente la actualización desde Windows Update, reiniciar el equipo y pausar las actualizaciones durante un tiempo prudencial.

Para comprobar si tu sistema está afectado por este bloqueo, Microsoft indica que puedes abrir el Visor de eventos y buscar el Event ID 3077 en el registro CodeIntegrity. Si aparece, significa que el sistema está bloqueando el archivo vulnerable, con todo lo bueno (protección) y lo malo (incompatibilidades) que ello conlleva.

Tres exploits de día cero en Windows Defender: BlueHammer, RedSun y UnDefend

Otro frente delicado afecta al propio antivirus integrado de Microsoft. Windows Defender, el motor de seguridad por defecto de Windows 10, Windows 11 y Windows Server, se ha visto comprometido por tres vulnerabilidades catalogadas como exploits de prueba de concepto (PoC) que están siendo usadas ya en ataques reales.

Estas vulnerabilidades, documentadas por el medio especializado Dark Reading, han sido publicadas por un investigador que se identifica como Nightmare-Eclipse. Según explica, intentó reportar los fallos a Microsoft sin obtener una respuesta satisfactoria, lo que le llevó a hacer públicas las PoC. De los tres exploits, solo uno cuenta con parche a día de hoy; los otros dos siguen sin corrección oficial.

El primer exploit, bautizado como BlueHammer, aprovecha la vulnerabilidad de día cero registrada como CVE-2026-33825. De acuerdo con un análisis de la empresa de seguridad Vectra.ai, el mecanismo del ataque se basa en el momento en el que Defender detecta un archivo sospechoso y decide sobrescribirlo. En esa ventana de tiempo se puede producir una condición de carrera que permite al atacante redirigir esa sobrescritura hacia otro destino arbitrario.

En la práctica, esto significa que, si se explota BlueHammer, el atacante puede lograr acceso al sistema a nivel elevado, ya que consigue que el antivirus, con sus altos privilegios, escriba donde no debe. Microsoft ha incluido un parche para BlueHammer en las actualizaciones de seguridad de abril de 2026, por lo que es imprescindible asegurarse de tener el equipo al día.

El segundo exploit, RedSun, funciona de manera parecida pero apunta a otro componente: el proceso en segundo plano TieringEngineService.exe, encargado de clasificar y priorizar archivos y amenazas en el flujo de trabajo de Defender. Vectra.ai ha detallado que un atacante solo necesita aprovechar la clásica cadena de prueba EICAR (la que se usa normalmente para comprobar antivirus) para desencadenar esta vulnerabilidad.

RedSun afecta a Windows 10, Windows 11 y Windows Server 2019, y a día de hoy no dispone de parche oficial. Esto lo convierte en un riesgo importante porque cualquier malware que se ejecute con pocos privilegios puede intentar escalar derechos aprovechando este fallo en el servicio interno de Defender.

El tercer exploit, llamado UnDefend, se encadena con los otros dos. Un atacante que ya haya conseguido acceso con privilegios de SYSTEM utilizando BlueHammer o RedSun puede usar UnDefend para desactivar o bloquear las actualizaciones de seguridad de Windows Defender, allanando el terreno para instalar malware persistente o mantener el control del equipo sin que las firmas del antivirus se actualicen.

La situación es lo suficientemente preocupante como para que empresas como Huntress Labs hayan alertado de que estas vulnerabilidades ya se usan en ataques activos. Según sus observaciones, BlueHammer lleva siendo explotada desde el 10 de abril, y pese al parche de Microsoft, algunas variantes de ataque siguen siendo viables, tal y como recoge BleepingComputer basándose en información de Nightmare-Eclipse.

Por ahora, RedSun y UnDefend siguen sin actualización de seguridad. Microsoft está investigando, pero no hay solución definitiva anunciada, lo que obliga a extremar las precauciones, mantener el sistema actualizado al máximo y complementar Defender con buenas prácticas de seguridad y, en entornos sensibles, con soluciones adicionales de protección.

Fallo crítico en el kernel de Windows por condición de carrera

Más allá del antivirus, se ha detectado una vulnerabilidad de alta gravedad en el propio kernel de Windows, el corazón del sistema que gestiona la memoria, los procesos y la comunicación con el hardware. Esta brecha ha sido señalada tanto por una agencia de ciberseguridad como por el CERT-In (Equipo de Respuesta a Emergencias Informáticas de la India), y afecta a varias de las versiones más recientes del sistema.

Según el aviso, el fallo se debe a una condición de carrera en el núcleo de Windows. En términos de programación, una condición de carrera aparece cuando varios procesos intentan acceder simultáneamente a un mismo recurso compartido sin una sincronización adecuada. Si el orden de ejecución no está controlado, se desencadenan comportamientos impredecibles, corrupción de datos o, como en este caso, vulnerabilidades de seguridad.

En concreto, el problema hace que el kernel no sincronice bien ciertos procesos que acceden a recursos compartidos. Si un atacante ya tiene algún tipo de acceso de bajo nivel al sistema (por ejemplo, una cuenta estándar o de invitado), puede explotar esa falla para elevar sus privilegios hasta nivel de administrador. Dicho de otra manera, alguien con permisos limitados puede llegar a tener control total del equipo.

Una vez explotada la vulnerabilidad, el atacante podría instalar malware, ransomware, manipular o borrar datos, interrumpir servicios críticos o tomar el control completo del PC o del servidor. En entornos corporativos, equipos compartidos u oficinas, esta escalada de privilegios local supone una amenaza considerable a la confidencialidad, integridad y disponibilidad del sistema.

Las versiones afectadas que se han detallado incluyen:

• Windows 10: versiones 1809, 21H2 y 22H2.
• Windows 11: versiones 22H3, 23H2, 24H2 y 25H2.
• Windows Server: 2019, 2022 y 2025, incluidas compilaciones Server Core.

Aunque el fallo no se puede explotar de forma remota directamente, el simple hecho de requerir acceso local no lo hace inocuo. Un atacante puede llegar a esa posición previa mediante otro exploit menor, a través de malware, o aprovechando inicios de sesión en equipos compartidos.

La parte positiva es que Microsoft ya ha publicado parches de seguridad que abordan esta vulnerabilidad del kernel. Los avisos recomiendan encarecidamente actualizar cuanto antes el sistema a la build más reciente disponible (en el caso citado por CERT-In, se menciona la versión 26200.7171 para Windows 11) y, en el caso de Windows 10, formar parte del programa de actualizaciones de seguridad extendidas (ESU) o migrar a Windows 11.

Para instalar los parches basta con abrir Configuración > Windows Update, buscar actualizaciones e instalar todas las disponibles para la versión concreta de tu sistema. En servidores, resulta especialmente recomendable planificar ventanas de mantenimiento para aplicar estos parches de forma inmediata.

Actualización de emergencia para .NET y elevación de privilegios

Junto a los problemas del kernel y de Windows Defender, Microsoft ha tenido que lanzar una actualización de emergencia para .NET, concretamente para la versión 10.0.7. El objetivo ha sido corregir una vulnerabilidad de elevación de privilegios que se introdujo tras una actualización rutinaria anterior.

El fallo ha sido registrado como CVE-2026-40372 y ha recibido una puntuación de 9,1 en CVSS 3.1, lo que indica un nivel de criticidad muy alto. Afecta a las versiones 10.0.0 a 10.0.6 del paquete Microsoft.AspNetCore.DataProtection, utilizado para proteger datos en aplicaciones web basadas en ASP.NET Core.

Si trabajas con aplicaciones que usan este paquete, es esencial actualizar cuanto antes a la versión 10.0.7 o superior. De lo contrario, un atacante podría aprovechar la vulnerabilidad para escalar privilegios dentro de la aplicación o del entorno donde se ejecuta, comprometiendo tanto la seguridad como la privacidad de los usuarios finales.

Este caso ilustra muy bien un equilibrio complicado: las actualizaciones son imprescindibles para tapar agujeros, pero a veces ellas mismas introducen problemas nuevos. Por eso conviene seguir de cerca los boletines de seguridad de Microsoft y de proveedores como Trend Micro, Vectra.ai o Huntress, que muchas veces detectan incidentes antes de que lleguen al usuario medio.

Zero-days antiguos y errores en servicios de actualización

Más allá de los fallos recientes, también se han puesto de relieve vulnerabilidades de día cero que llevan explotándose años y que siguen sin parche completo. Una de las más llamativas es la identificada como ZDI-CAN-25373, descubierta por Trend Micro, cuyo uso malicioso se remonta nada menos que a 2017.

Esta vulnerabilidad está relacionada con el formato binario de los accesos directos de Windows (.lnk). Los accesos directos facilitan abrir programas y archivos sin tener que navegar hasta su ubicación real, pero ese mismo mecanismo puede ser manipulado para introducir cargas maliciosas. La investigación indica que el fallo se ha usado para comprometer infraestructuras en más de 60 países, con algunos de los grupos atacantes vinculados a estados nación.

Una de las variantes, asociada a un grupo chino, utiliza esta brecha para desplegar el troyano de acceso remoto PlugX contra objetivos europeos. La vulnerabilidad emplea técnicas como el cifrado RC4 para camuflarse y avanzar desde un archivo aparente inocuo hasta la ejecución de código en la máquina víctima.

Al no existir un parche definitivo para ZDI-CAN-25373, la recomendación pasa por restringir el uso de archivos .lnk procedentes de orígenes no confiables. Esto se puede reforzar configurando el Explorador de Windows para bloquear o limitar la ejecución de accesos directos provenientes de ubicaciones inseguras (por ejemplo, unidades de red no verificadas o medios externos).

Otra vulnerabilidad relevante afecta a los servicios de actualización de Windows Server (WSUS). Se trata de un fallo de ejecución remota de código derivado de un problema de serialización, que llegó a propagarse mediante un gusano informático. En un primer momento Microsoft publicó un parche fuera de ciclo, pero con el tiempo se comprobó que la solución no estaba completa y que el fallo podía seguir explotándose.

Esta brecha ha recibido el identificador CVE-2025-59287, y su principal objetivo son los servidores WSUS expuestos en Internet. La reaparición del problema llevó a una nueva investigación por parte de empresas de seguridad, que detectaron que la corrección anterior no cerraba todos los vectores posibles.

En paralelo, se ha mencionado otro fallo extremadamente grave, etiquetado como CVE-2025-9491, también clasificado como día cero y todavía sin fecha clara de resolución. Sumando ambos casos, se refuerza la idea de que los servicios de actualización y distribución de parches deben estar especialmente protegidos, ya que un atacante que los comprometa puede inyectar código malicioso en toda una red corporativa.

Windows 10 sin soporte, Windows 11 cuestionado y el papel del programa ESU

En medio de todo este panorama técnico, hay un factor estratégico que agrava la situación: Windows 10 ha finalizado su soporte oficial el 14 de octubre de 2025. A partir de esa fecha, Microsoft ya no ofrece actualizaciones gratuitas de seguridad ni asistencia técnica estándar a través de Windows Update.

Según el propio Microsoft y empresas como Dell, hay alrededor de mil millones de ordenadores que siguen usando Windows 10. Si cruzamos esos datos con estadísticas como StatCounter, la cuota de mercado de Windows 10 se mantiene por encima del 42 %, mientras que Windows 11 está bastante por detrás en adopción.

Esto crea un escenario dividido en tres grandes grupos de usuarios de Windows:

• Usuarios que ya están en Windows 11 y reciben parches regularmente.
• Usuarios con equipos compatibles con Windows 11 que no quieren actualizar, en muchos casos por desconfianza o descontento con el nuevo sistema.
• Usuarios con hardware considerado incompatible por Microsoft, que no pueden migrar a Windows 11 aunque lo deseen.

La gestión de este salto a Windows 11 ha sido muy criticada. Requisitos de hardware confusos, TPM obligatorio, CPUs vetadas, bloatware, más anuncios, más telemetría y una interfaz con elementos sin pulir han generado mala impresión. Muchos usuarios perciben Windows 11 como más pesado, menos personalizable y menos estable que Windows 10, con fallos recurrentes en cada gran actualización.

En este contexto, no sorprende que haya administradores de sistemas recibiendo mensajes internos del tipo “hay fallos de seguridad importantes en Windows 10 ahora mismo, hay que migrar ya a Windows 11” y que, al buscar detalles concretos, no encuentren nada claro. Más que una vulnerabilidad aislada, lo que hay es un riesgo creciente al usar un sistema sin soporte en un entorno donde los ataques se vuelven cada vez más sofisticados.

Para mitigar ese riesgo, Microsoft ha extendido el programa de Actualizaciones de Seguridad Extendidas (ESU) para Windows 10 hasta octubre de 2026. Sin embargo, no hay datos públicos sobre cuántos equipos están realmente inscritos. El temor de muchos analistas es que una proporción significativa de esos mil millones de PCs no esté recibiendo parches, quedando expuestos a fallos como los comentados (kernel, Defender, .NET, WSUS, etc.).

La recomendación general para quien siga atado a Windows 10 es clara: activar el programa ESU siempre que sea posible o migrar a Linux, especialmente en empresas y organizaciones donde la seguridad es crítica.

Cómo reducir el impacto de estos fallos de seguridad en tu día a día

A pesar del panorama algo desalentador, hay margen para minimizar riesgos. Lo fundamental es asumir que no existe un sistema perfecto y que la seguridad depende tanto de los parches de Microsoft como de cómo usamos y configuramos nuestras máquinas.

Algunas recomendaciones prácticas basadas en los problemas descritos serían:

• Mantener Windows siempre actualizado, incluyendo los parches de abril de 2026 que corrigen BlueHammer y la vulnerabilidad del kernel, comprobando regularmente en Configuración > Actualización y seguridad > Windows Update.
• Actualizar las soluciones de copia de seguridad (Acronis, Macrium, NinjaOne, UrBackup, etc.) a sus últimas versiones para evitar errores relacionados con VSS y el bloqueo de psmounterex.sys.
• Revisar los registros de eventos (Event ID 3077 en CodeIntegrity) para detectar si el bloqueo del archivo vulnerable está activo en el sistema.
• Limitar el uso de archivos .lnk procedentes de ubicaciones no confiables y reforzar las políticas de ejecución en el Explorador de Windows para frenar exploits como ZDI-CAN-25373.
• Proteger y segmentar los servidores WSUS y otros servicios de actualización, evitando exponerlos innecesariamente a Internet y aplicando con rapidez los parches específicos que vayan liberándose.
• Vigilar especialmente los entornos con cuentas de invitado o usuarios compartidos, donde una escalada de privilegios local puede desencadenar un desastre.

Si además trabajas con ASP.NET Core y paquetes como Microsoft.AspNetCore.DataProtection, conviene revisar inmediatamente las versiones instaladas y actualizar a 10.0.7 o superior para cerrar la brecha CVE-2026-40372 y evitar que alguien pueda escalar privilegios dentro de tus aplicaciones.

En el fondo, lo que estamos viendo estos meses es la combinación de un ecosistema muy grande, con muchas versiones distintas de Windows en circulación, y una presión enorme por parte de atacantes cada vez mejor organizados. Entre parches que se encadenan, zero-days que salen a la luz tras años de explotación silenciosa y un parque masivo de Windows 10 sin soporte o mal protegido, la superficie de ataque es enorme.

Quien siga usando Windows, ya sea en casa o en empresa, necesita estar mucho más pendiente que antes de las notas de seguridad, las builds concretas instaladas, los programas de backup compatibles y el estado real de Windows Defender. Con un poco de disciplina y manteniendo el sistema y las aplicaciones al día, es posible reducir significativamente el riesgo, pero ignorar estos avisos y seguir como si nada sí que es jugar con fuego.