Nuevo dolor de cabeza para Microsoft: se filtra un exploit sin parche para Windows

Microsoft nuevamente está en problemas. Acaba de hacer saltar todas las alarmas ante un nuevo problema de ciberseguridad. Un investigador independiente, bajo el alias de Chaotic Eclipse / Nightmare‑Eclipse, ha publicado el código de explotación de una vulnerabilidad de elevación de privilegios en Windows bautizada como BlueHammer. 

El problema es que, de momento, no hay parche oficial de seguridad, por lo que, técnicamente, se considera un zero‑day que Microsoft debe resolver de forma urgente.

El fallo permite que un atacante que ya tenga acceso local al sistema gane permisos de administrador o incluso de SYSTEM, lo que significa que puede tomar el control casi completo de un equipo. 

Eso no implica que el exploit abra la puerta a todos; no es tan fácil. Pero sí es cierto que cualquier usuario con no muy buenas intenciones puede meterse dentro del sistema y hacer casi lo que quiera: gestionar cuentas, robar datos, instalar malware…

Windows 11 elimina poco a poco los controladores de kernel antiguos y pondrá fin para siempre a la firma cruzada

El investigador que lo ha publicado ha dejado claro que Microsoft ya conocía el fallo y no le pareció el trato recibido por el Microsoft Security Response Center (MSRC) quien lo investigó inicialmente. 

En mensaje publicado en un post, afirma sentirse frustrado por el proceso de divulgación y, por eso, ha decidido hacerlo de nuevo, esta vez sin explicar con detalle cómo funciona y dejando que el código sirva de prueba por sí mismo. El repositorio de GitHub con el PoC de BlueHammer ya está disponible, aunque contiene algunos errores que hacen que no funcione bien.

Con todo esto, Microsoft, por su parte, afirma que ya está manos a la obra para corregir el problema y publicar parches lo antes posible, pero también defiende el modelo de divulgación coordinada: que el investigador le dé tiempo a la compañía para preparar la corrección antes de soltar todo el código. En el caso de BlueHammer, esa coordinación pende de un hilo bastante fino.

Ubuntu rompe una norma no escrita de Linux: sus nuevos requisitos mínimos superan ya a los de Windows

Un nuevo 'malware' para Windows se hace pasar por aplicaciones comunes para infectar tu ordenador

Desde luego, no está siendo un buen 2026 para la compañía y eso que tan solo van cuatro meses desde que comenzó. Sin ir más lejos, hace unos días se dio a conocer otro fallo. 

En este caso, los ciberdelincuentes han escalado un nuevo peldaño de sofisticación y se están haciendo pasar por herramientas que usas todos los días, como Zoom, Microsoft Teams o Google Meet y resulta casi imposible distinguirlas de las reales.

El truco es el típico cebo que siempre ha funcionado. Tú, como usuario, recibes un correo que parece venir de una fuente en la que confías. Al intentar abrir un PDF, te salta una ventana pidiéndote que "abras con Adobe" para ver el contenido correctamente.

Usan IA para engañar a la BIOS y ejecutar Windows 11 en hardware bloqueado

Si caes en la trampa y haces clic en el botón, no vas a la web de Adobe, sino a una página web falsa diseñada para descargar un archivo infectado en tu ordenador. Lo peor de todo es que tú, en ningún momento, vas a sospechar absolutamente nada.

Cada una de estas aplicaciones falsificadas llega con un certificado digital legítimo emitido a nombre de una empresa llamada TrustConnect Software PTY LTD.

Esto significa que, cuando intentas instalar el programa, Windows no te advierte de absolutamente nada en lo que seguridad se refiere. Al estar firmado, el sistema operativo le da el visto bueno, haciéndote creer que el software es totalmente seguro.

Una vez instalado, el programa falso empieza a comportarse como un agente totalmente oculto. Se copia a sí mismo en la carpeta Program Files para camuflarse entre tus otros programas y, lo más preocupante, se instala como un servicio de Windows. Esto le permite arrancar cada vez que enciendes el PC, sin que tú tengas que hacer nada.

A partir de ahí, el malware hace uso de herramientas de control remoto, como ScreenConnect o Tactical RMM, dándole al atacante una especie de mando a distancia de tu ordenador. En pocas palabras, le has entregado las llaves de tu PC sin que tú siquiera te hayas dado cuenta de que algo no va bien.