La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha puesto en alerta a las agencias gubernamentales por una vulnerabilidad crítica en Windows que, si no se remedia, permite a un atacante local escalar privilegios hasta el nivel SYSTEM y tomar el control del equipo. El fallo, registrado como CVE-2025-60710, afecta a componentes centrales del sistema operativo y fue corregido por Microsoft en noviembre de 2025, pero CISA advierte que el riesgo exige una respuesta rápida.
El problema reside en el proceso conocido como Task Host, un componente interno de Windows que actúa como contenedor para procesos basados en DLL. Su función es permitir que esas DLL se ejecuten en segundo plano y asegurarse de que cierren correctamente al apagar el sistema, evitando así corrupción de datos. La vulnerabilidad está relacionada con una debilidad de tipo “link following”, es decir, con la resolución de enlaces simbólicos o redirecciones antes de acceder a un archivo, lo que puede ser aprovechado por un usuario con permisos básicos para forzar que el sistema abra o modifique recursos que no debería.
Microsoft describe que el origen del fallo se encuentra en la resolución de enlaces antes de la lectura o la apertura de ficheros por parte del proceso anfitrión de tareas. Esa condición permite a una cuenta no privilegiada ejecutar un ataque de baja complejidad y, en el peor de los casos, elevar sus privilegios hasta efectuar acciones con permisos de sistema. Para más detalles técnicos sobre este tipo de debilidad conviene revisar la clasificación CWE correspondiente: CWE-59 (link following).
El pasado lunes CISA añadió esta CVE a su listado de vulnerabilidades activamente explotadas y, en aplicación de la Directiva Operativa Vinculante BOD 22-01 de noviembre de 2021, fijó un plazo de dos semanas para que las agencias federales civils aseguren sus entornos. La inclusión en el catálogo de CISA suele implicar esa obligación de remediación acelerada; puede consultarse la propia lista pública en el catálogo de vulnerabilidades explotadas.
Ni CISA ni Microsoft han publicado hasta ahora detalles de ataques concretos ligados a esta falla: la agencia estadounidense no ha divulgado indicadores de compromiso y Microsoft todavía no ha actualizado su aviso público para confirmar explotación activa en la naturaleza. Aun así, la advertencia es clara: este tipo de vectores —fallos en resolución de enlaces que permiten rebanar la cadena de privilegios— es habitual en las campañas maliciosas y representa un riesgo elevado para entornos federales y corporativos.
La recomendación oficial es contundente: aplicar las correcciones proporcionadas por el fabricante y, cuando corresponda, implementar las mitigaciones indicadas. CISA remite además a las instrucciones de la BOD 22-01 cuando la carga vulnerable está en servicios en la nube, y recuerda que, si no existen mitigaciones prácticas, debería considerarse la interrupción del uso del producto afectado hasta que esté seguro. Puede encontrarse la directiva BOD 22-01 en la web de la agencia: BOD 22-01.
Este aviso llega en un contexto de varias acciones recientes de CISA y de Microsoft: la agencia ha requerido reparaciones urgentes para otras vulnerabilidades explotadas activamente en productos de terceros, y Microsoft ha desplegado sus actualizaciones mensuales que en abril de 2026 incluyeron correcciones para más de un centenar de fallos, entre ellos algunos de gravedad crítica. La guía de actualizaciones de Microsoft y los avisos de seguridad del fabricante son fuentes imprescindibles para planificar la respuesta: MSRC – CVE-2025-60710.
Si gestionas equipos o infraestructuras, la acción prioritaria debe ser verificar el estado de los parches en todos los sistemas Windows 11 y Windows Server 2025 susceptibles y aplicar las actualizaciones de noviembre de 2025 que corrigen este defecto. Además, conviene revisar las configuraciones de cuenta, las políticas de acceso y los registros de eventos en busca de actividad inusual que pudiera indicar intentos de escalado. No basta con parchear: una estrategia defensiva en capas —monitorización, segmentación de redes, controles de integridad y privilegios mínimos— reduce el impacto si un atacante consigue escapar de un control.
En términos prácticos, la advertencia de CISA debe leerse como un recordatorio de que las vulnerabilidades que permiten escalar privilegios son especialmente peligrosas por la puerta que abren: desde una cuenta sin privilegios se puede acabar con control total del sistema. Por ello la rapidez en la aplicación del parche y la comprobación de inventario son medidas clave para minimizar el riesgo mientras las organizaciones revisan sus defensas y procedimientos.
Para cualquier responsable de seguridad o administrador, la ruta es clara: confirmar la exposición de activos, desplegar las actualizaciones publicadas por Microsoft, seguir las guías y mitigaciones recomendadas por CISA y Microsoft, y mantener una vigilancia activa para detectar comportamientos anómalos. Consultar las fuentes oficiales enlazadas en este texto es un buen punto de partida para garantizar que las decisiones se basen en la información más reciente y fiable.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...