Un fallo en Microsoft Defender en Windows 11 puede llenar por completo el disco duro de tu PC

Un investigador descubre que una actualización de Microsoft Defender para Windows 11 podría ser utilizada para llenar por completo el disco duro mediante un fallo en la gestión de archivos en caché.
Microsoft Defender, la solución de seguridad integrada en Windows 11, se encuentra en el centro de una nueva polémica después de que un investigador de seguridad descubriera un problema que podría permitir llenar por completo el espacio de almacenamiento de un ordenador. El fallo aparece, precisamente, en una actualización destinada a corregir una vulnerabilidad crítica detectada recientemente.
La historia comienza con RoguePlanet, una vulnerabilidad de día cero que afectaba al motor de protección antimalware de Microsoft Defender. Este problema podía ser aprovechado por atacantes para obtener privilegios elevados dentro del sistema, aumentando considerablemente el riesgo de comprometer un equipo. Microsoft solucionó la amenaza mediante una actualización del motor de Defender a la versión 1.1.26060.3008, distribuida automáticamente a través de las actualizaciones de inteligencia de seguridad.
Sin embargo, el investigador asegura que el parche no está completamente libre de problemas. Tras analizar el nuevo motor de Defender, encontró un posible fallo de filtración de información de ocho bytes introducido por los cambios de seguridad implementados por Microsoft. Aunque esta vulnerabilidad parece estar limitada al acceso desde controladores del kernel y no puede explotarse fácilmente desde aplicaciones convencionales, continúa siendo objeto de investigación.
El problema más preocupante es otro. Según el investigador, la actualización introduce una situación que podría permitir consumir prácticamente todo el espacio libre de una unidad de almacenamiento. Microsoft Defender establece normalmente límites sobre el tamaño de los archivos que analiza o pone en cuarentena para evitar un uso excesivo del disco, pero estos límites aparentemente no se aplican a ciertos datos almacenados en caché.
La prueba de concepto desarrollada utiliza un servidor SMB malicioso que entrega un archivo acompañado de un ADS especialmente diseñado y de gran tamaño. Mediante la manipulación de determinadas operaciones de lectura, Defender mantiene los archivos en caché bloqueados y evita su eliminación automática. Como resultado, el espacio ocupado sigue creciendo hasta llenar completamente el disco duro.
Las pruebas realizadas indican que el comportamiento puede reproducirse tanto en Windows 11 25H2 como en Windows Server 2025.
Por el momento, Microsoft no ha realizado declaraciones públicas sobre este nuevo problema relacionado con la vulnerabilidad CVE-2026-50656, por lo que se desconoce si la compañía trabaja ya en una solución adicional.