Microsoft ha publicado una actualización de seguridad fuera de calendario para corregir una vulnerabilidad crítica en ASP.NET Core que permite la escalada de privilegios. La falla, registrada como CVE-2026-40372, afecta a las APIs criptográficas del sistema de Protección de Datos (Data Protection) de ASP.NET Core y, en determinadas condiciones, deja la puerta abierta para que un atacante sin autenticar fuerce cookies y otros datos protegidos para hacerse pasar por usuarios privilegiados.
El problema salió a la luz cuando varios desarrolladores empezaron a notar fallos de desencriptado en sus aplicaciones después de instalar la actualización .NET 10.0.6 distribuida en el Patch Tuesday de este mes. Al investigar, Microsoft detectó una regresión en los paquetes NuGet Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6: el componente que genera y valida la etiqueta HMAC calculaba el control de integridad sobre bytes incorrectos del payload y, en algunos escenarios, descartaba el hash calculado. Esa combinación permite que firmas aparentemente válidas pasen las comprobaciones de autenticidad y que payloads previamente protegidos —como cookies de sesión, tokens antifalsificación, TempData o el estado OIDC— puedan ser descifrados o falsificados. Puedes ver la explicación técnica en las notas de la versión 10.0.7 publicadas por el equipo de .NET: notas de la versión 10.0.7.
Las consecuencias prácticas son preocupantes: si un atacante consigue autenticar con una identidad privilegiada utilizando payloads forjados durante la ventana de vulnerabilidad, la aplicación podría emitir entonces tokens legítimos —por ejemplo, refresh tokens, claves de API o enlaces de restablecimiento de contraseña— que seguirán siendo válidos incluso después de aplicar la corrección, a menos que se realice una rotación del anillo de claves de Data Protection. Microsoft describe estas implicaciones en su aviso de seguridad: asesoramiento MSRC sobre CVE-2026-40372.
La medida inmediata recomendada por Microsoft es actualizar el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 y volver a desplegar las aplicaciones afectadas cuanto antes para que la rutina de validación restaurada rechace automáticamente payloads forjados. El equipo de .NET resumió las instrucciones y el riesgo en un comunicado técnico donde solicita a todos los clientes que actúen con prioridad: entrada en el blog de .NET sobre el OOB 10.0.7, y el paquete actualizado está disponible en la página oficial de descargas: descargas de .NET 10.0.
No basta solamente con parchear: las entidades que hayan podido ser manipuladas durante la ventana de exposición deben considerar la rotación de sus claves de Data Protection para invalidar tokens legítimos emitidos indebidamente. La documentación oficial sobre cómo funciona la Protección de Datos y cómo gestionar el anillo de claves puede servir de guía para realizar este proceso sin interrumpir servicios: documentación sobre Data Protection en ASP.NET Core y guía de gestión de claves.
Microsoft también aclaró que, además de la posibilidad de suplantación de identidades y emisión de tokens legítimos por parte del atacante, la vulnerabilidad puede explotarse para revelar archivos o modificar datos almacenados por la aplicación. En cambio, según el aviso, esta falla no permite afectar la disponibilidad del sistema (por ejemplo, causar denegación de servicio a nivel del sistema operativo).
Este incidente se suma a otras vulnerabilidades graves reportadas recientemente en el ecosistema ASP.NET Core. En octubre pasado Microsoft parcheó un fallo de "HTTP request smuggling" en el servidor web Kestrel que recibió una severidad particularmente alta y permitía a atacantes autenticados secuestrar credenciales de otros usuarios, eludir controles frontales o incluso provocar la caída del servidor; esa vulnerabilidad está registrada como CVE-2025-55315. La reiteración de problemas críticos en componentes de infraestructura web resalta la necesidad de aplicar parches con agilidad y de mantener controles de defensa en profundidad.
Para administradores y equipos de desarrollo, la hoja de ruta práctica es clara: actualizar al paquete 10.0.7, redeplegar servicios, revisar logs y señales de acceso inusual durante la ventana vulnerable y, si existe sospecha de exposición, rotar las claves de protección de datos y revocar tokens sensibles. Microsoft mantiene un registro de las plataformas y configuraciones afectadas en el anuncio oficial que acompaña a la corrección: anuncio en GitHub sobre la actualización.
Por último, conviene recordar que Microsoft ha seguido publicando actualizaciones fuera de ciclo para otros problemas detectados tras las actualizaciones de abril de 2026, y que la seguridad de aplicaciones web modernas depende tanto de parches rápidos como de prácticas como el hardening de configuraciones, el monitoreo activo y la segregación de privilegios. Si administras aplicaciones ASP.NET Core que usan Data Protection, actúa ahora: parchea, despliega y valida la integridad de tus claves y tokens.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...