Microsoft lanzó ayer una actualización fuera de ciclo dirigida a equipos con Windows 11 Enterprise que reciben los llamados hotpatches en lugar de las actualizaciones acumulativas habituales del segundo martes de cada mes. La corrección, distribuida como KB5084597, aborda fallos en la herramienta de administración del Servicio de Enrutamiento y Acceso Remoto (RRAS) que podrían permitir la ejecución remota de código si un equipo se conecta a un servidor malicioso.
Según Microsoft, las vulnerabilidades resueltas están identificadas como CVE-2026-25172, CVE-2026-25173 y CVE-2026-26111. En los tres casos, el ataque requiere que un usuario de un equipo unido al dominio sea engañado para que la consola de RRAS establezca una conexión con un servidor controlado por el atacante, lo que podría derivar en la ejecución de código en la máquina administrativa.
El hotpatch KB5084597 cubre instalaciones de Windows 11 en las versiones 25H2 y 24H2, así como sistemas Windows 11 Enterprise LTSC 2024. Microsoft aclara que estas correcciones ya formaban parte de las actualizaciones de seguridad publicadas en el Patch Tuesday de marzo, pero que se han vuelto a emitir en formato hotpatch para garantizar cobertura en escenarios donde un reinicio programado no es viable, como en equipos que soportan servicios críticos y deben permanecer en funcionamiento continuo.
La diferencia clave entre una actualización acumulativa normal y un hotpatch es su modo de aplicación. Mientras las acumulativas normalmente requieren reiniciar el sistema para que los archivos en disco se actualicen y los procesos se reinicien, los hotpatches aplican cambios en memoria para mitigar vulnerabilidades sin interrumpir los servicios en ejecución y, al mismo tiempo, actualizan los ficheros de disco para que la corrección persista tras el próximo arranque. Microsoft explica este mecanismo y su gestión dentro de Windows Autopatch en su documentación dedicada a hotpatch updates.
Es importante subrayar que este hotpatch se ofrecerá solo a dispositivos que estén inscritos en el programa de hotpatch y gestionados mediante Windows Autopatch; en esos equipos la actualización se instala automáticamente y sin solicitar reinicio. Para el resto de entornos, la protección frente a estas fallas continúa siendo la instalación de las actualizaciones acumulativas publicadas en marzo y, en caso de no estar gestionadas por Autopatch, planificar el reinicio necesario para completar la reparación.
Desde una perspectiva práctica y de seguridad, hay varias conclusiones y pasos que cualquier responsable de infraestructura debería considerar. Primero, comprobar qué máquinas de la organización están inscritas en Windows Autopatch y, en caso contrario, priorizar la instalación de las actualizaciones acumulativas y programar los reinicios en ventanas de mantenimiento. Segundo, limitar el uso de consolas administrativas y evitar que los equipos de gestión se conecten a servidores no confiables; el riesgo descrito depende precisamente de que la herramienta RRAS se conecte a un extremo malicioso. Tercero, revisar la segmentación de red y las políticas de acceso para reducir la exposición de estaciones administrativas a servidores externos no verificados.
Microsoft ya indicó que había publicado hotfixes previos para estas fallas y que la versión distribuida ahora tiene por objetivo cerrar huecos en todos los escenarios afectados. Aun así, los administradores deberían leer la entrada técnica de la KB y las páginas de vulnerabilidad para comprender el alcance exacto y confirmar los pasos a seguir en su entorno. La nota de soporte del hotpatch está disponible en la página de Microsoft mencionada anteriormente, y las entradas detalladas de cada CVE pueden consultarse en el catálogo de seguridad de Microsoft: Microsoft Security Response Center.
Si gestiona equipos que no forman parte del programa de hotpatch y no puede permitir reinicios frecuentes, conviene planificar una estrategia de mitigación adicional: restringir la administración remota a través de redes controladas, emplear estaciones de administración dedicadas y con el mínimo software instalado, y aplicar controles de acceso que reduzcan la probabilidad de que un usuario autenticado sea inducido a establecer conexiones con servidores maliciosos.
En resumen, la aparición de KB5084597 recuerda dos ideas sencillas pero relevantes: la primera, que las herramientas de administración remota pueden convertirse en vectores de ataque si no se controlan las conexiones que realizan; la segunda, que las tecnologías como el hotpatch buscan compensar las limitaciones operativas de entornos críticos, permitiendo corregir vulnerabilidades sin reinicios inmediatos. Para más información y para descargar la actualización en caso de que proceda, consulte la nota de soporte de Microsoft y las páginas de las CVE que enlazamos arriba.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...