En los últimos días muchos administradores y usuarios de Windows vieron alertas que vinculaban certificados legítimos de DigiCert con la detección Trojan:Win32/Cerdigent.A!dha de Microsoft Defender; en algunos equipos esos certificados incluso fueron eliminados del almacén de confianza de Windows (AuthRoot), provocando confusión y, en casos extremos, reinstalaciones innecesarias del sistema operativo.
La causa inmediata fue una actualización de firmas de Defender enviada a finales de abril que añadió esa detección; Microsoft distribuyó luego correcciones en las versiones de inteligencia de seguridad 1.449.430.0 y sucesora 1.449.431.0 para retirar la falsa positiva y, según informes, restaurar certificados eliminados en sistemas afectados. Puede consultarse la descripción de la detección en la enciclopedia de Microsoft: Microsoft Malware Encyclopedia, y la cobertura técnica inicial que siguió al incidente está disponible en BleepingComputer: BleepingComputer.
Este evento llega en paralelo a un incidente de seguridad en DigiCert donde atacantes obtuvieron “códigos de inicialización” que permitieron emitir algunos certificados de firma de código EV, varios de los cuales fueron usados para firmar malware. Esa brecha explica por qué los investigadores vieron certificados DigiCert ligados a campañas maliciosas, pero las entradas que Defender marcó eran certificados raíz en el almacén de confianza, no necesariamente los certificados de firma de código revocados, lo que añade complejidad a la investigación y aumenta el riesgo de daños colaterales al manejo automático de firmas por parte de soluciones AV.
Las implicaciones prácticas son importantes: la eliminación o alteración del AuthRoot puede producir errores de TLS/HTTPS, fallos en la validación de firmas de código y problemas en aplicaciones que dependen de la cadena de confianza del sistema. Para las organizaciones esto puede traducirse en servicios inaccesibles, firmas rechazadas por Windows SmartScreen o interrupciones en flujos de despliegue y actualizaciones.
Si tu entorno se vio afectado, evita acciones drásticas como reinstalar el sistema sin antes verificar hechos básicos. Primero, forza la actualización de firmas de Defender (Windows Security > Virus y protección contra amenazas > Actualizaciones de protección > Buscar actualizaciones) o comprueba por PowerShell la versión de firmas con Get-MpComputerStatus (módulo Defender). Tras actualizar, revisa si los certificados fueron restaurados automáticamente y ejecuta un análisis completo con Defender para confirmar que no hay restos maliciosos.
Si los certificados siguen ausentes, revisa el almacén local y los registros: con PowerShell puedes listar el almacén de raíces locales (Cert:\LocalMachine\AuthRoot) y exportar/volver a importar certificados legítimos si dispones de una copia. Windows también puede recuperar raíces mediante el servicio de actualización automática de certificados, y si hace falta restaurar manualmente puedes usar certutil o PowerShell para añadir certificados confiables. En cualquier caso, conserva copias de los certificados y del registro antes de hacer cambios y documenta la intervención para auditoría.
Además de restaurar la confianza, adopta controles post-incidente: verifica integridad del sistema con SFC /scannow y DISM /Online /Cleanup-Image /RestoreHealth, revisa logs y accesos recientes, rota credenciales administrativas expuestas y aplica búsquedas de indicadores de compromiso (IoC) relacionados con la campaña que usó certificados comprometidos. Si gestionas muchos endpoints, prioriza la actualización de firmas en tus herramientas de administración central y monitoriza help desks y foros para diagnosticar dispositivos que hayan recibido acciones automáticas de eliminación.
Finalmente, es importante separar dos problemas relacionados pero distintos: la emisión fraudulenta o uso malicioso de certificados de firma (el problema originario en DigiCert) y las falsas positivas de soluciones antivirus que afectan certificados raíz. Para seguimiento y contexto técnico, revisa la traza pública del incidente de DigiCert (discusión en plataformas técnicas como el bug de seguimiento de Mozilla) y la divulgación de Microsoft sobre la detección: Bugzilla sobre el incidente de DigiCert.
Si necesitas, puedo ayudarte a redactar procedimientos concretos para auditar y, si procede, restaurar certificados en un equipo o en una flota, incluyendo los comandos recomendados y comprobaciones forenses mínimas antes de aceptar cualquier restauración automática.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...