5 min. de lectura<\/p>\n
Windows Defender est\u00e1 bajo ataque activo desde el 16 de abril de 2026. Las dos vulnerabilidades de escalada de privilegios BlueHammer (CVE-2026-33825) y RedSun, reveladas durante el Patch Tuesday de abril, ya se est\u00e1n explotando en incidentes reales. Los atacantes encadenan los exploits con UnDefend para establecer persistencia, realizar volcado de credenciales, movimiento lateral y despliegue de ransomware. Para los equipos de seguridad de empresas de la regi\u00f3n DACH, esto representa el nivel de urgencia m\u00e1s alto en meses.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado<\/span>El BSI alerta sobre F5 BIG-IP, Citrix y Trivy: pasos operativos<\/a> \/<\/span> Manual de respuesta ante ransomware en 72 horas<\/a><\/p>\n \u00bfQu\u00e9 es BlueHammer?<\/strong> BlueHammer es el nombre p\u00fablico de la CVE-2026-33825 de zero-day en Windows Defender. T\u00e9cnicamente se trata de una condici\u00f3n de carrera TOCTOU (Time-of-Check to Time-of-Use) en el motor de correcci\u00f3n de amenazas. Un atacante local aprovecha la ventana de tiempo entre la verificaci\u00f3n y el procesamiento de un archivo clasificado como malicioso para elevar sus propios privilegios al nivel SYSTEM.<\/p>\n El exploit se public\u00f3 el 7 de abril de 2026, antes de que Microsoft hubiera desplegado un parche. El Patch Tuesday de abril (14.04.) cerr\u00f3 CVE-2026-33825. Dos d\u00edas despu\u00e9s, el mismo investigador public\u00f3 un segundo exploit, RedSun, que seg\u00fan el propio autor pretend\u00eda ser una protesta contra el proceso de divulgaci\u00f3n de Microsoft. RedSun aprovecha una vulnerabilidad relacionada que no fue abordada completamente en el parche de abril. UnDefend, por su parte, es una herramienta complementaria que elude el propio sistema de monitorizaci\u00f3n de Defender.<\/p>\n La combinaci\u00f3n de BlueHammer m\u00e1s RedSun m\u00e1s UnDefend es casi perfecta desde la perspectiva del atacante. La ruta de escalada de privilegios local funciona en la gran mayor\u00eda de los endpoints Windows que no han sido completamente parcheados en los \u00faltimos 14 d\u00edas. Los atacantes eluden la telemetr\u00eda EDR porque UnDefend neutraliza los componentes de detecci\u00f3n. A continuaci\u00f3n, vuelcan credenciales de LSASS, se mueven lateralmente y despliegan su carga \u00fatil, generalmente ransomware.<\/p>\n Los feeds de inteligencia de amenazas de Europa y Estados Unidos vienen reportando incidentes de forma consistente desde el 16 de abril en los sectores financiero, sanitario e industrial. El BSI no ha emitido hasta ahora ninguna advertencia oficial con un advisory propio; la coordinaci\u00f3n se canaliza a trav\u00e9s de CERT-Bund hacia los sectores afectados. Las pr\u00f3ximas 48 a 72 horas decidir\u00e1n la amplitud de la oleada. Grupos de ransomware con v\u00ednculos con Rusia habr\u00edan integrado ya la combinaci\u00f3n en sus kits de ataque, seg\u00fan varios proveedores de inteligencia de amenazas, lo que acelera su propagaci\u00f3n.<\/p>\n El caso ilustra lo cerca que est\u00e1n en 2026 el ciclo de divulgaci\u00f3n y la explotaci\u00f3n activa. Entre la publicaci\u00f3n p\u00fablica de una prueba de concepto y la primera campa\u00f1a activa han transcurrido en este caso aproximadamente nueve d\u00edas. Hace tres a\u00f1os, el plazo era de tres a seis semanas. La reducci\u00f3n de esa ventana temporal plantea interrogantes fundamentales a los procesos cl\u00e1sicos de gesti\u00f3n de parches. Los parches fuera de banda y las pipelines de despliegue automatizadas ya no son caracter\u00edsticas de lujo, sino una necesidad operativa.<\/p>\n Prioridades inmediatas<\/p>\n Refuerzo a medio plazo<\/p>\n La medida inmediata m\u00e1s importante es la tasa de parcheo. El Patch Tuesday de abril sigue en fase de despliegue en muchas organizaciones, ya que las oleadas de distribuci\u00f3n requieren entre 7 y 14 d\u00edas. En el escenario de amenazas actual, ese ciclo es demasiado largo. Los CISO deben coordinarse con el equipo de gesti\u00f3n de clientes para lanzar una oleada extraordinaria que fuerce el rollup de abril en todos los endpoints. Quien siga en el nivel de parches de marzo tiene un problema urgente.<\/p>\n Paralelamente a la oleada de parches, conviene ejecutar un hunting-run sobre la telemetr\u00eda de endpoints. Las paradas del servicio Defender, los accesos inesperados a LSASS y los procesos SYSTEM an\u00f3malos son las se\u00f1ales que permiten detectar a los atacantes en este momento. Los clientes de Sentinel disponen de reglas de an\u00e1lisis predefinidas para ello; CrowdStrike ha activado detecciones IOA en la actualizaci\u00f3n de abril. Para equipos sin un threat-hunter dedicado, un barrido de dos horas sobre los \u00faltimos siete d\u00edas es suficiente para aislar patrones sospechosos.<\/p>\n Por \u00faltimo, un aspecto organizativo de importancia. BlueHammer y RedSun han demostrado que en 2026 la publicaci\u00f3n de exploits antes que los parches ser\u00e1 m\u00e1s frecuente. La cadencia cl\u00e1sica del Patch Tuesday ya no es suficiente garant\u00eda. Los equipos de seguridad deben acordar con la gesti\u00f3n de clientes y la direcci\u00f3n una norma extraordinaria que permita despliegues de parches fuera de banda ante zero-days explotados activamente. Quien no haya documentado esa decisi\u00f3n con antelaci\u00f3n perder\u00e1 d\u00edas en la coordinaci\u00f3n que simplemente no puede permitirse.<\/p>\n Los indicadores de compromiso incluyen paradas inusuales del servicio Defender, procesos inesperados a nivel SYSTEM con procesos padre en sesiones de usuario y accesos reiterados a LSASS poco despu\u00e9s de eventos de inicio de sesi\u00f3n. Proveedores de threat intelligence como CrowdStrike, Microsoft Defender for Endpoint y Sentinel han incorporado estos patrones en sus reglas actuales. Realizar una b\u00fasqueda personalizada en el SIEM sobre estas firmas resulta muy recomendable en este momento.<\/p>\n Acelerar de inmediato la oleada de despliegue. Los tiempos de rollout est\u00e1ndar no se ajustan a la situaci\u00f3n actual. Si el parche se ha retrasado por motivos de compatibilidad, los avisos de Microsoft describen mitigaciones temporales. Adicionalmente, reforzar la segmentaci\u00f3n de red y el acceso Zero-Trust en los puntos cr\u00edticos.<\/p>\n Principalmente a clientes, ya que la ruta de ataque requiere una sesi\u00f3n de usuario. Sin embargo, los servidores Windows con inicio de sesi\u00f3n interactivo o Terminal Services tambi\u00e9n est\u00e1n en el \u00e1mbito de riesgo. Defender for Servers y sus equivalentes en Azure cuentan con los parches correspondientes, aunque la priorizaci\u00f3n en los rollouts de servidores suele ser inferior a la de los clientes.<\/p>\n\n
Qu\u00e9 significan BlueHammer y RedSun desde el punto de vista t\u00e9cnico<\/h2>\n
Por qu\u00e9 los atacantes lo han operacionalizado tan r\u00e1pidamente<\/h2>\n
Qu\u00e9 deben hacer los equipos de seguridad en las pr\u00f3ximas 72 horas<\/h2>\n
\n
\n
Preguntas frecuentes<\/h2>\n
\u00bfC\u00f3mo detecto ataques con BlueHammer o RedSun?<\/h3>\n
\u00bfQu\u00e9 hacer si el parche de abril a\u00fan no se ha desplegado en la organizaci\u00f3n?<\/h3>\n
\u00bfAfecta el ataque tambi\u00e9n a servidores o solo a clientes Windows?<\/h3>\n
M\u00e1s de la red MBF Media<\/h2>\n