En las últimas semanas hemos visto cómo vulnerabilidades recién reveladas en Windows han pasado rápidamente de ser un dato de laboratorio a convertirse en herramientas activas en los arsenales de atacantes. Tres fallos relacionados con Microsoft Defender, publicados por un investigador que se identifica como "Chaotic Eclipse" o "Nightmare‑Eclipse", ya están siendo explotados para escalar privilegios hasta SYSTEM o para sabotear la propia protección antivirus, según investigaciones y observaciones de equipos de respuesta ante incidentes.
El contexto importa: los exploits que se filtraron originalmente incluían código de prueba de concepto (PoC) que el autor publicó en protesta por el proceso de comunicación de vulnerabilidades con Microsoft. Esa publicación expuso los fallos antes de que existieran parches completos para todos ellos, y provocó que actores maliciosos los incorporaran a sus campañas. Microsoft distingue estos fallos como zero‑days en la medida en que no tenían corrección cuando se hicieron públicos; puede consultarse la definición oficial en la documentación de Microsoft sobre vulnerabilidades zero‑day en Defender en este enlace: Microsoft – Zero‑day vulnerabilities.
Los tres vectores en cuestión tienen nombres que ya circulan en la comunidad: BlueHammer, RedSun y UnDefend. BlueHammer fue rastreado como CVE‑2026‑33825 y Microsoft lo incluyó en sus actualizaciones de abril de 2026, por lo que aplicar ese parche mitiga específicamente esa amenaza. Sin embargo, las otras dos técnicas —RedSun y UnDefend— siguen sin corrección oficial en el momento en que se publicaron las observaciones de los equipos de respuesta, y han sido usadas en ataques reales, según lo reportado por Huntress Labs: mensaje de Huntress y seguimiento técnico.
Qué hace cada exploit y por qué preocupa: UnDefend permite a un usuario estándar bloquear actualizaciones de definiciones de Microsoft Defender. Esto no es solo una molestia: cortar las actualizaciones del motor/firmas facilita que malware pase desapercibido y que posteriores etapas de un ataque se instalen sin ser detectadas. RedSun, por su parte, aprovecha un comportamiento específico del servicio para sobrescribir archivos y elevar privilegios hasta SYSTEM cuando Defender está activo; la prueba de concepto explica cómo se abusa del manejo de ciertos archivos asociados a detecciones con etiquetas en la nube para provocar una reescritura sobre ficheros sensibles, ganando así control elevado del sistema —el repositorio del PoC está disponible en GitHub: GitHub – RedSun. BlueHammer es otra técnica de escalada que Microsoft parcheó en el boletín de abril, por lo que su riesgo inmediato disminuye si los sistemas están actualizados.
Los incidentes observados no son meras exploraciones automatizadas. Huntress documentó casos en los que los atacantes accedieron a dispositivos mediante credenciales comprometidas de SSLVPN y, tras comprometer una máquina, usaron estas técnicas en un patrón de "hands‑on‑keyboard", es decir, actividad manual y dirigida de un operador humano. Esto eleva el peligro: cuando un atacante logra contexto y control remoto, técnicas como UnDefend sirven para sostener la persistencia y reducir la visibilidad de sus acciones mientras despliegan herramientas que requieren privilegios.
El debate sobre la divulgación coordinada: parte del problema aquí fue la disputa entre el investigador que publicó los PoC y Microsoft sobre los tiempos y la gestión de la corrección. Microsoft ha reiterado su compromiso con la divulgación coordinada para investigar vulnerabilidades y proteger a los clientes antes de una divulgación pública masiva; la compañía suele preferir trabajar con los investigadores para resolver incidencias antes de que el código o los detalles estén disponibles públicamente. La publicación temprana por parte del investigador aceleró la exposición y permitió su aprovechamiento por actores maliciosos, lo que plantea preguntas complejas sobre responsabilidad, presión de los investigadores y prioridades en la reparación de fallos críticos.
Qué pueden hacer las organizaciones y los usuarios ahora mismo: lo primero y más urgente es verificar y aplicar las actualizaciones oficiales de Microsoft: la corrección que aborda BlueHammer llegó con las actualizaciones de abril de 2026, por lo que instalar parches reduce exposición a esa técnica. Pero dado que RedSun y UnDefend seguían sin parche al menos en el momento de los reportes, los equipos de seguridad deben asumir que esos vectores pueden ser explotados y actuar en consecuencia. Es recomendable reforzar la telemetría y el monitoreo en endpoints con especial atención a señales de manipulación del servicio de Defender, actividad de sobrescritura de archivos del sistema o cambios en las reglas y actualizaciones de firmas. También es crítico revisar accesos remotos (como SSLVPN), asegurando que se usen autenticación multifactor, credenciales fuertes y políticas de acceso mínimo; Huntress vinculó al menos un caso con credenciales VPN comprometidas: observación de Huntress.
Además, conviene consultar análisis técnicos y detalles publicados por medios de confianza para entender indicadores de compromiso y técnicas utilizadas. BleepingComputer ha cubierto extensamente estos fallos y sus PoC en artículos detallados que explican la mecánica de RedSun y otros vectores; sus notas técnicas ayudan a priorizar detecciones y mitigaciones: BleepingComputer – RedSun y BleepingComputer – BlueHammer.
Reflexión final: esta serie de divulgaciones y explotación muestra la tensión real entre rapidez en la corrección y la presión pública de la comunidad investigadora. Mientras las organizaciones esperan parches, los atacantes no lo hacen: incorporan pruebas de concepto y técnicas en sus operaciones. Para los equipos de seguridad corporativos y administradores domésticos, la lección es doble: mantener sistemas actualizados reduce riesgo frente a vulnerabilidades parcheadas, y una estrategia proactiva de detección y segmentación de red sigue siendo imprescindible para mitigar fallos que aún no tienen corrección. La combinación de buenas prácticas en gestión de acceso, una política robusta de parches y visibilidad continua en endpoints es hoy la mejor defensa frente a estas amenazas en evolución.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...