Estos dos aspectos vulnerables de Windows están siendo explotados por los ciberdelincuentes

Dos fallos graves en Windows han vuelto a encender las alarmas de la ciberseguridad global. Una de las vulnerabilidades se denomina de de día cero, la cual es conocida por los atacantes desde hace al menos ocho años y que Microsoft aún no ha logrado corregir. El otro problema es un error crítico que la compañía intentó arreglar sin éxito y que ya está siendo explotado en ataques de gran escala que afectan a servidores en todo el mundo.

Brechas sin solucionar en Windows disparan las alarmas

La primera de las vulnerabilidades, identificada inicialmente como ZDI-CAN-25373, fue descubierta por Trend Micro Incorporated en marzo, cuando ya llevaba años siendo aprovechada por al menos once grupos de ciberespionaje avanzados, algunos vinculados a gobiernos. Estos actores, conocidos como APT o Amenaza Persistente Avanzada, usaron la brecha para inyectar malware en infraestructuras repartidas por casi 60 países, siendo Estados Unidos, Canadá, Rusia y Corea del Sur los más afectados.

El fallo parece originarse en un error del formato binario de los accesos directos de Windows. Esto significa que los equipos interpretan mal parte de esos datos, como, por ejemplo, un nombre de archivo o una instrucción interna. Si un atacante diseña un acceso directo con esa manipulación, puede provocar que Windows ejecute código no autorizado al abrir el acceso directo, sin que el usuario note nada raro. En la actualidad, sabemos que aún no existe parche para este fallo.

Ahora, han sido investigadores de la empresa especializada en ciberseguridad Arctic Wolf quienes han detectado que el grupo UNC-6384, alineado con China, lo está utilizando en ataques coordinados contra varios países europeos. Su objetivo parece ser desplegar un troyano conocido como PlugX, capaz de controlar por completo todo el sistema. La recomendación de los expertos es limitar el uso de accesos directos desde fuentes no confiables, ya que la vulnerabilidad tiene una gravedad de 7 sobre 10.

El segundo fallo, conocido como CVE-2025-59287, afecta a Windows Server Update Services, una herramienta que se utiliza para gestionar la instalación y actualización de software en grandes redes de servidores. En este caso, su nivel de gravedad es aún mayor, con un 9,8 sobre 10. Microsoft intentó corregirlo a mediados de octubre, pero el parche resultó fallido. A los pocos días, investigadores de las compañías de ciberseguridad Huntress, Eye y Sophos detectaron ataques reales aprovechando el fallo, con inicio el 23 de octubre.

Esta vulnerabilidad parece que permite la ejecución remota de código, lo que podría hacer que se propagase de un servidor a otro sin intervención humana. Microsoft lanzó una actualización de emergencia, aunque aún no existen garantías de que la amenaza haya sido neutralizada por completo. Por el momento, la combinación de una vulnerabilidad sin parche y otra mal corregida nos arroja un escenario preocupante: el mayor sistema operativo del mundo sigue siendo uno de los blancos más fáciles para los ciberdelincuentes.