Un nuevo aviso de la firma de ciberseguridad Huntress ha encendido las alarmas: atacantes están aprovechando tres fallos recién divulgados en Microsoft Defender para escalar privilegios en equipos comprometidos. Las vulnerabilidades, conocidas por los alias BlueHammer, RedSun y UnDefend, fueron publicadas como zero-days por un investigador que firma como Chaotic Eclipse (también referido como Nightmare‑Eclipse), en protesta por la forma en que, según su criterio, Microsoft gestionó el proceso de divulgación.
De las tres fallas, BlueHammer y RedSun permiten elevar privilegios desde el propio sistema, lo que en la práctica facilita que un intruso con acceso inicial obtenga control más profundo sobre el equipo. En cambio, UnDefend está diseñada para provocar una condición de denegación de servicio que puede bloquear las actualizaciones de definiciones, un vector que deja a los endpoints sin defensas actuales frente a malware. Microsoft ha abordado BlueHammer en las actualizaciones de Patch Tuesday de esta semana y la vulnerabilidad figura como CVE‑2026‑33825, pero al momento de redactar este texto RedSun y UnDefend permanecen sin parche formal.
Huntress publicó en redes y en sus análisis que ha observado explotación activa de las tres vulnerabilidades. Según la compañía, BlueHammer ya se ha visto siendo utilizado en ataques desde el 10 de abril de 2026, y el 16 de abril aparecieron pruebas de concepto públicas que demuestran el uso de RedSun y UnDefend. Los operadores, explican los investigadores, no solo ejecutaron exploits automatizados: llevaron a cabo tareas típicas de “hands‑on‑keyboard”, es decir, actividad manual y dirigida tras el acceso inicial. Entre los comandos detectados se encuentran consultas de privilegios y credenciales como whoami /priv, cmdkey /list y net group, señales claras de que el atacante explora y prepara el terreno para movimientos posteriores.
Lo que hace más preocupante este episodio es la combinación de varios factores: la divulgación pública por parte del investigador, la existencia de exploits y pruebas de concepto en circulación, y la confirmación de uso real por parte de actores maliciosos. Esto ha obligado a Huntress a tomar medidas de contención en la organización afectada para evitar que los atacantes profundicen su acceso o se muevan lateralmente dentro de la red.
Si bien Microsoft ya corrigió BlueHammer en su parche mensual, es importante que los equipos de seguridad no consideren el riesgo cerrado hasta que todas las fallas estén mitigadas. Microsoft publica sus actualizaciones y guías a través del Centro de Respuesta de Seguridad (Microsoft Security Update Guide) y conviene verificar allí los boletines correspondientes. Para consultar la referencia pública del identificador asociado a BlueHammer puede consultarse la base de datos de vulnerabilidades del NIST en la entrada CVE‑2026‑33825.
En situaciones como esta, más allá de aplicar parches cuando están disponibles, las recomendaciones prácticas incluyen fortalecer el monitoreo de endpoints y los mecanismos de detección de actividad inusual, aplicar el principio de menor privilegio en cuentas y servicios, y revisar los registros de seguridad para identificar comandos y patrones indicadores de exploración o exfiltración. La documentación de Microsoft sobre protección y gestión de Microsoft Defender ofrece orientación adicional sobre configuración y buenas prácticas (documentación oficial de Defender).
Los eventos recientes subrayan una tendencia problemática: la tensión entre investigadores que publican exploit cero‑día y la ventana temporal que dejan las organizaciones para parchear y mitigar. La cobertura periodística y los equipos de respuesta suelen contactar a los proveedores; en este caso, The Hacker News informó sobre la situación y dijo haber buscado comentario de Microsoft. Hasta la actualización de esta nota, se espera la respuesta oficial que pueda aclarar el estado de mitigaciones para RedSun y UnDefend.
Para administradores y responsables de seguridad la clave ahora es actuar con rapidez y prudencia: instalar las correcciones disponibles, endurecer la telemetría para detectar comandos sospechosos y, si detectan compromiso, segmentar y aislar sistemas afectados para limitar el impacto. Los incidentes como este recuerdan que las soluciones de seguridad son tan fuertes como la velocidad con la que se aplican los parches y la calidad del monitoreo humano que las acompaña.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...