- Campañas de espionaje estatales llevan años explotando accesos directos .LNK y fallos de formato en Windows sin que exista todavía un parche claro.
- Microsoft afronta vulnerabilidades críticas en Windows, WSUS, Schannel, Print Spooler y otros componentes, con parches masivos y algunos intentos fallidos.
- Las actualizaciones mensuales corrigen decenas de CVE, pero obligan a empresas y usuarios a combinar parches rápidos con buenas prácticas y planes de contingencia.
- El endurecimiento de activaciones y cambios en Windows 11 conviven con un creciente debate sobre seguridad, control del usuario y fuga hacia alternativas como Linux.
La seguridad de Windows vuelve a estar en el punto de mira tras destaparse varias vulnerabilidades críticas y campañas de espionaje que han pasado años sin solucionarse. Algunas llevan activas alrededor de ocho años, otras casi dos décadas, y otras acaban de descubrirse pero ya están siendo explotadas por grupos avanzados. El resultado es un escenario en el que el sistema operativo más usado del mundo sigue siendo, para muchos atacantes, un objetivo muy jugoso.
En los últimos meses se han mezclado fallos sin parche, parches fallidos y campañas de malware a gran escala, con actores estatales, ciberdelincuentes y empresas de seguridad corriendo a contrarreloj. A continuación repasamos, con calma pero al detalle, qué está pasando con las vulnerabilidades de Windows, por qué algunas llevan tantos años abiertas y qué puedes hacer para minimizar riesgos tanto en casa como en tu empresa.
Una campaña de espionaje que aprovecha accesos directos .LNK desde hace ocho años
Trend Micro destapó recientemente una campaña de espionaje de largo recorrido que abusa de una debilidad en la forma en que Windows maneja los accesos directos (.lnk). El truco es tan sencillo como ingenioso: crear accesos directos que aparentan ser documentos o programas legítimos, pero que esconden comandos maliciosos camuflados entre una cantidad enorme de caracteres en blanco.
Estos accesos directos incluyen comandos peligrosos en la línea de comandos, enterrados bajo megabytes de espacios, tabulaciones y saltos de línea. Así, cuando un usuario curioso abre las propiedades del acceso directo, lo que ve es básicamente un mar de espacios, sin rastro aparente de código sospechoso. Windows, sin embargo, interpreta toda la cadena y ejecuta las órdenes maliciosas sin pestañear.
El proceso de infección es preocupantemente sencillo para el atacante. Imaginemos un correo que llega a un empleado con el asunto perfecto: «Informe de gastos del último trimestre». El archivo adjunto parece ser un PDF con nombre creíble, pero en realidad se trata de algo como «Informe de gastos del último trimestre.pdf.lnk». Si en el sistema no se muestran las extensiones, el usuario creerá que se trata de un simple documento y hará doble clic sin pensarlo.
Al ejecutar el acceso directo, Windows lanza en segundo plano una cadena de comandos que descarga e instala spyware en el equipo. Ese software malicioso puede registrar pulsaciones de teclado, realizar capturas de pantalla, robar credenciales o incluso ofrecer acceso remoto completo al sistema. Todo ello mientras el usuario cree que ha abierto un PDF que, con suerte, ni siquiera existe.
Según los datos de Trend Micro, esta debilidad —catalogada como ZDI-CAN-25373— se está explotando al menos desde 2017. Los investigadores han identificado cerca de un millar de accesos directos maliciosos, pero sospechan que el número real de ataques es muy superior, con víctimas repartidas por Norteamérica, Europa, Asia, Sudamérica y Australia.
Lo más inquietante del análisis es que aproximadamente el 70% de los .lnk maliciosos se vinculan a grupos APT (Amenazas Persistentes Avanzadas) respaldados por estados. Corea del Norte encabeza la lista con un 46% de los casos, seguida por Rusia, Irán y China, que rondan cada una el 18%. No estamos, por tanto, ante malware «doméstico» aislado, sino ante operaciones de ciberespionaje bien financiadas.
Los objetivos más habituales incluyen organismos públicos, empresas del sector privado, entidades financieras (incluidas criptomonedas), ONGs, operadores de telecomunicaciones y, en menor medida, sectores especialmente sensibles como el militar y el energético. Es un mapa de amenazas muy alineado con los intereses de inteligencia y sabotaje de los estados implicados.
La respuesta de Microsoft: de “problema de interfaz” a vulnerabilidad sin parche
La parte más polémica del caso llega cuando Trend Micro notifica la vulnerabilidad a Microsoft a través de Zero Day Initiative en septiembre del año pasado. Tras meses de análisis conjunto, la respuesta oficial de Redmond fue catalogar el fallo como un simple problema de interfaz de usuario, no como un bug de seguridad que requiera parche urgente.
Desde Microsoft argumentan que el usuario tiene que hacer clic en el acceso directo, y que en teoría se trata de una funcionalidad legítima de Windows que puede ser mal utilizada, pero no de un fallo profundo del sistema. Como mucho, señalan, se podría contemplar un cambio de comportamiento en futuras versiones del sistema operativo.
Para investigadores como Dustin Childs, de ZDI, esta respuesta resulta difícil de digerir en un escenario donde un solo clic ejecuta código malicioso que además se oculta deliberadamente. La acusación de fondo es clara: se está infravalorando una debilidad que ha permitido campañas de espionaje durante casi una década.
Tras la negativa de Microsoft a priorizar un parche, Trend Micro decidió hacer pública la vulnerabilidad y sus detalles. El objetivo no era tanto exponer a los usuarios, sino forzar la conversación y alertar a las organizaciones de que podían estar siendo espiadas sin saberlo. En sus palabras, este problema «representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos de gobiernos, infraestructuras críticas y organizaciones privadas en todo el mundo».
Desde la compañía de Redmond, la respuesta oficial se limita a recomendar que los usuarios tengan cuidado al descargar archivos de fuentes desconocidas y al abrir adjuntos inesperados. Mientras tanto, la vulnerabilidad sigue sin parche específico y se apoya en gran medida en que las soluciones de seguridad aprendan a detectar patrones de accesos directos abusados, algo que algunos antivirus ya hacen pero otros todavía no.
Dos agujeros graves en Windows: día cero sin parche y fallo crítico mal corregido
Junto a la debilidad de los accesos directos, se han identificado dos vulnerabilidades especialmente serias en Windows que han disparado las alarmas de la comunidad de ciberseguridad. Una es un día cero explotado desde hace al menos ocho años; la otra, un fallo crítico en una herramienta clave de administración que Microsoft intentó arreglar, pero cuyo primer parche no funcionó.
La primera vulnerabilidad, inicialmente etiquetada también como ZDI-CAN-25373, fue descubierta formalmente por Trend Micro en marzo, aunque ya llevaba años siendo aprovechada por al menos once grupos de ciberespionaje con respaldo estatal. Estos grupos APT han utilizado la brecha para inyectar malware en infraestructuras repartidas en casi 60 países, con especial impacto en Estados Unidos, Canadá, Rusia y Corea del Sur.
El origen del problema está en un error en el formato binario de los accesos directos de Windows. En la práctica, el sistema interpreta mal ciertos datos, como nombres de archivos o instrucciones internas, lo que abre la puerta a que un atacante diseñe un acceso directo manipulado que provoque la ejecución de código arbitrario al abrirlo, sin que el usuario perciba nada extraño más allá de hacer doble clic.
Investigadores de Arctic Wolf han observado que un grupo alineado con intereses chinos, identificado como UNC-6384, está usando esta técnica en una campaña dirigida contra varios países europeos. Su objetivo principal es desplegar el troyano PlugX, conocido por ofrecer un control prácticamente total del sistema comprometido. La vulnerabilidad tiene una puntuación de gravedad de 7/10, y los expertos recomiendan limitar todo lo posible el uso de accesos directos provenientes de fuentes no confiables.
El segundo fallo crítico afecta a Windows Server Update Services (WSUS), la herramienta que muchas organizaciones utilizan para gestionar la instalación de parches y software en grandes redes de servidores. La vulnerabilidad, registrada como CVE-2025-59287, alcanza una gravedad de 9,8 sobre 10, lo que la sitúa en el rango más peligroso posible.
Microsoft lanzó un parche a mediados de octubre, pero la actualización no corrigió realmente el problema. A los pocos días, investigadores de Huntress, Eye y Sophos empezaron a detectar ataques masivos que explotaban precisamente esa debilidad en entornos reales, con actividad registrada desde el 23 de octubre. La brecha permite ejecución remota de código, lo que en un contexto de servidores puede facilitar la propagación lateral del ataque sin intervención humana.
Ante la gravedad de la situación, la compañía se vio obligada a publicar una actualización de emergencia adicional. Aun así, se reconoce que no hay garantías absolutas de que todas las variantes del ataque hayan quedado neutralizadas. La combinación de una vulnerabilidad sin parche claro y otra con parche fallido dibuja un escenario incómodo: Windows sigue siendo uno de los blancos preferidos y más rentables para los ciberdelincuentes.
De WinShock a PrintNightmare: fallos históricos que llevaban décadas escondidos
Las vulnerabilidades de largo recorrido en Windows no son una novedad. Ya en 2014 se hizo público que Microsoft llevaba 19 años arrastrando un error grave en el sistema operativo y en Office, un bug conocido popularmente como WinShock. El fallo residía en el componente de canal seguro de Microsoft, Schannel, utilizado para cifrar comunicaciones y proteger datos sensibles.
Investigadores de IBM descubrieron la vulnerabilidad en mayo de aquel año y trabajaron varios meses junto a Microsoft antes de hacerla pública. El error permitía que un atacante, mediante técnicas específicas, tomara el control remoto de un equipo simplemente aprovechando cómo se procesaban ciertos certificados y conexiones cifradas. Se le otorgó una puntuación de gravedad de 9,3 sobre 10.
El problema afectaba también a las versiones de servidor de Windows, por lo que no solo estaban en riesgo los PC de escritorio, sino también los sitios web y servicios que manejan datos cifrados. WinShock se sumó así a una lista de grandes fallos de bibliotecas de seguridad, junto a otros como Heartbleed en OpenSSL, fallos en GNUTLS, NSS o el propio SecureTransport de Apple.
Más recientemente, otro caso sonado fue PrintNightmare, una vulnerabilidad crítica en el servicio Print Spooler de Windows. Investigadores de la empresa Sangfor descubrieron varios problemas en el servicio de cola de impresión que permitían a usuarios maliciosos escalar privilegios y ejecutar código con altos permisos. El asunto se descontroló cuando, por error, publicaron en GitHub un tutorial funcional para explotar el fallo. Aunque lo retiraron, el código ya se había replicado por múltiples foros y repositorios.
PrintNightmare afectaba tanto a Windows 10 como a Windows 7, a pesar de que este último ya no contaba con soporte oficial. La gravedad fue tal que Microsoft decidió lanzar parches también para Windows 7 y prometió actualizaciones para Windows Server 2016 y 2012. El riesgo era claro: un atacante que explotase la vulnerabilidad podía instalar programas, leer y borrar datos, o crear cuentas con privilegios de administrador.
Estos casos muestran cómo algunos errores permanecen enterrados en el código durante décadas, muchas veces en componentes críticos pero poco visibles para el usuario final. Cuando finalmente salen a la luz, el impacto potencial es enorme, tanto en términos de seguridad como de costes de mitigación.
El Patch Tuesday: más de cien fallos corregidos en un solo mes
Cada mes, Microsoft lanza su ya clásico Patch Tuesday, un paquete de actualizaciones de seguridad que corrige vulnerabilidades en todo su ecosistema de productos. En una de las últimas rondas se anunciaron nada menos que 109 parches que afectaban a 16 familias distintas, desde Windows hasta Azure, pasando por Office, Exchange, SQL Server o Teams.
De esos 109 problemas, 18 se consideraron críticos y 31 alcanzaron una puntuación CVSS base de 8,0 o superior, incluyendo un 10,0 «perfecto» que golpeaba a Azure. Aunque en el momento de la publicación no se conocían explotaciones activas, dos vulnerabilidades de Windows (CVE-2025-53786 y CVE-2025-53779) ya se habían divulgado públicamente, lo que siempre acelera el interés de los atacantes.
En términos de impacto, la mayoría de fallos se repartían entre elevación de privilegios (44) y ejecución remota de código (35), seguidos por divulgación de información (18), suplantación de identidad (7), denegación de servicio (4) y manipulación de datos (1). Es decir, un abanico de problemas que van desde filtrar datos hasta tomar por completo el control de sistemas expuestos.
Por productos, Windows concentró 65 vulnerabilidades, Microsoft 365 y Office 16 cada uno, Azure 7, SQL Server 6, Exchange 5, SharePoint 4, y otros como Excel, Word, PowerPoint, Teams, Visual Studio o incluso el Subsistema de Windows para Linux (WSL2) completaban el listado. En algunos casos, los fallos afectaban simultáneamente a varias familias.
Entre las vulnerabilidades destacadas había dos de ejecución remota de código en componentes gráficos de Windows, CVE-2025-50165 y CVE-2025-53766, ambas con puntuación 9,8. En un escenario típico, bastaría con que el usuario abriese un documento o una página web con una imagen JPEG o un metarchivo especialmente manipulados para disparar el ataque. Otra entrada relevante fue CVE-2025-49712 en SharePoint, que permitía a un atacante autenticado ejecutar código a través de la red con un conocimiento limitado del entorno interno.
También hubo vulnerabilidades críticas de divulgación de información en Microsoft 365 Copilot BizChat (CVE-2025-53774 y CVE-2025-53787), que Microsoft afirma haber mitigado previamente, y fallos en la implementación híbrida de Exchange Server (CVE-2025-53786) y en Web Deploy (CVE-2024-53772). Todo ello refuerza la idea de que la superficie de ataque de Microsoft se ha expandido mucho más allá del clásico escritorio de Windows.
Soluciones como Sophos Intercept X o los firewalls XGS han incorporado firmas y reglas para detectar la explotación de varios de estos CVE, pero Microsoft insiste en que los administradores no esperen y descarguen los parches lo antes posible, ya sea vía Windows Update o desde el Catálogo oficial. En caso de duda, siempre es buena idea ejecutar winver.exe para saber la versión exacta del sistema y aplicar la actualización correspondiente.
Más vulnerabilidades recientes: Rust en el kernel, fugas de memoria y reinicios forzados
Ni siquiera la adopción de lenguajes más seguros como Rust libra a Windows de los problemas. Check Point informó recientemente de seis nuevas vulnerabilidades en el sistema, una de ellas clasificada como crítica. Entre ellas destaca el primer fallo público en un componente del kernel de Windows escrito precisamente en Rust, lo que demuestra que, aunque se reduzcan ciertos tipos de errores de memoria, el riesgo cero no existe.
Esta vulnerabilidad en el kernel puede provocar un bloqueo completo del equipo y un reinicio forzoso, interrumpiendo bruscamente el trabajo de los usuarios y desconectando sesiones de red, servicios críticos o aplicaciones en producción. Es un recordatorio de que incluso los elementos diseñados para aumentar la seguridad necesitan revisiones y parches continuos.
Otras dos vulnerabilidades graves, identificadas como CVE-2025-30388 y CVE-2025-53766, permiten la ejecución de código malicioso al interactuar con archivos manipulados, facilitando la instalación de malware, herramientas de acceso remoto o la toma total de control del sistema comprometido. Además, tres fallos adicionales provocan fugas de información por corrupción de memoria, una de ellas (CVE-2025-47984) con la capacidad de filtrar contenido de memoria directamente a través de la red, sin necesidad de acceso físico.
Las recomendaciones para empresas y usuarios pasan por instalar inmediatamente las actualizaciones de seguridad, mantener activas soluciones de protección capaces de bloquear intentos de explotación antes de que existan parches, y adoptar un enfoque proactivo basado en monitorización continua y segmentación de redes.
Cuando la seguridad también falla: el caso CrowdStrike y las pantallas azules
La dependencia masiva de herramientas de seguridad también puede tener sus propios riesgos. El 19 de julio del año pasado, una actualización defectuosa de CrowdStrike provocó un incidente global que afectó únicamente a sistemas Windows. Un error de lógica en la nueva versión de su agente de seguridad desembocó en la temida «pantalla azul de la muerte» en unos 8,5 millones de dispositivos en todo el mundo.
El impacto fue brutal: miles de vuelos cancelados, hospitales con interrupciones en sus sistemas, bancos afectados y un sinfín de empresas con sus equipos paralizados. Paradójicamente, una actualización destinada a reforzar la protección contra ataques maliciosos terminó siendo, de facto, el origen de una caída masiva de servicios críticos.
Este episodio ilustra que la cadena de confianza en ciberseguridad es tan fuerte como su eslabón más débil. No basta con parchear rápido; también hay que hacerlo bien, con pruebas rigurosas y planes de contingencia por si algo sale mal. Para las organizaciones, contar con procedimientos de rollback, copias de seguridad y planes de continuidad de negocio deja de ser una opción para convertirse en requisito básico.
Vulnerabilidades, activaciones pirata y el futuro del ecosistema Windows
Mientras tanto, Microsoft sigue ajustando piezas en su modelo de uso del sistema operativo. Herramientas como KMS38, un activador de código abierto muy popular desarrollado por el grupo Massgrave (Microsoft Activation Scripts), han sido bloqueadas por actualizaciones recientes de Windows. Esa utilidad permitía activar Windows y Office sin pagar licencia, manteniendo además la capacidad de recibir actualizaciones oficiales.
Con el nuevo bloqueo, los sistemas activados con KMS38 están perdiendo la activación y mostrando mensajes que invitan a comprar una licencia legítima. Los desarrolladores han retirado la opción principal de activación KMS y recomiendan métodos alternativos como HWID (ID de hardware) o TSforge, que por ahora continúan funcionando. Aunque algunos ven este movimiento como un paso más hacia la seguridad, otros señalan que, al ser una herramienta de código abierto, era relativamente transparente y analizable en busca de posibles amenazas.
Este endurecimiento coincide con la eliminación progresiva de las cuentas locales en Windows 11, así como la obligación de disponer de conexión a Internet durante la instalación para asociar el equipo a una cuenta de Microsoft. Esta estrategia, sumada al fin del soporte de Windows 10 y a los requisitos de hardware de Windows 11, está empujando a muchos usuarios hacia alternativas como Linux, especialmente en equipos que no cumplen las nuevas exigencias.
En este contexto, la percepción de seguridad y control es clave: si los usuarios sienten que pierden libertad y no ganan suficiente protección a cambio, el riesgo es que se acelere el abandono de la plataforma en segmentos concretos, sobre todo en entornos domésticos y de pymes con menos dependencia de herramientas corporativas específicas.
Cómo reducir el riesgo hoy: buenas prácticas para usuarios y empresas
Ante este panorama, no todo son malas noticias. Hay una serie de medidas que, sin ser infalibles, reducen mucho la probabilidad de caer en ataques que exploten vulnerabilidades de Windows, tanto las que ya tienen parche como las que aún están en discusión.
- Extremar la precaución con adjuntos y enlaces en correos, mensajería o redes sociales, especialmente cuando llegan sin contexto o de contactos poco habituales.
- Activar la visualización de extensiones de archivo en Windows para evitar confundir un «.pdf.lnk» con un documento legítimo.
- Mantener el sistema operativo y todas las aplicaciones plenamente actualizados, instalando los parches del Patch Tuesday tan pronto como sea razonable.
- Utilizar soluciones de seguridad con protección en tiempo real capaces de detectar patrones de explotación conocidos, accesos directos maliciosos y comportamiento anómalo.
- Aplicar el principio de mínimo privilegio en cuentas de usuario y servicios, de modo que un compromiso inicial limite el daño potencial.
- Segmentar redes y servicios críticos para que un fallo en un servidor (por ejemplo, WSUS) no implique la caída en cascada de toda la infraestructura.
- Contar con copias de seguridad probadas y planes de respuesta a incidentes, incluyendo procedimientos de reversión de parches problemáticos.
La realidad es que las vulnerabilidades en Windows llevan décadas apareciendo y seguirán haciéndolo, por la enorme complejidad del código y por la cantidad de actores interesados en explotarlas. La clave ya no es aspirar a un sistema perfecto, sino a un ecosistema capaz de detectar, corregir y mitigar fallos con rapidez, al tiempo que los usuarios y las empresas adoptan hábitos de seguridad menos ingenuos y más preparados para lo inesperado.
