Por Canuto Microsoft vivió uno de sus martes de parches más intensos hasta la fecha: corrigió más de 200 vulnerabilidades en junio de 2026. Sin embargo, horas después apareció RoguePlanet, un nuevo 0-day en Defender que, según pruebas independientes, puede otorgar privilegios SYSTEM incluso en equipos totalmente actualizados.
***
- Microsoft publicó un Patch Tuesday récord con 208 CVEs, mientras el total de junio asciende a 571 si se incluyen errores de terceros.
- Un nuevo exploit llamado RoguePlanet apunta a Microsoft Defender y permitiría elevar privilegios a SYSTEM en Windows 10 y Windows 11 actualizados.
- La nueva divulgación reaviva la disputa entre Microsoft y el investigador Nightmare Eclipse, quien ya había hecho públicos otros 0-days como GreenPlasma y YellowKey.
🚨 Microsoft bajo fuego: nuevo exploit 0-day en Defender
RoguePlanet permite elevar privilegios a SYSTEM en Windows 10 y 11 actualizados.
Apareció apenas horas después de un Patch Tuesday récord con 208 CVEs.
La crisis se intensifica con una disputa pública con el investigador… pic.twitter.com/F6SJ88zg12
— Diario฿itcoin (@DiarioBitcoin) June 10, 2026
Microsoft arrancó junio de 2026 con un Patch Tuesday sin precedentes y, casi de inmediato, quedó otra vez bajo presión. La compañía corrigió dos fallos ya divulgados por el investigador conocido como Nightmare Eclipse, pero pocas horas después apareció un nuevo exploit de día cero bautizado como RoguePlanet, dirigido contra Microsoft Defender.
El episodio mezcla varios frentes delicados para la empresa. Por un lado, un volumen récord de parches. Por otro, una disputa pública con un investigador que ha venido publicando vulnerabilidades de Windows y herramientas asociadas. Y en medio de todo, la confirmación de que uno de los fallos de Defender ya estaba siendo explotado activamente.
Para usuarios no especializados, vale recordar que un 0-day es una vulnerabilidad que se conoce públicamente antes de que exista un parche suficiente o mientras la protección aún resulta incompleta. En entornos corporativos, esto eleva el riesgo porque los atacantes pueden estudiar el fallo a la vez que los defensores corren para validar, desplegar y monitorear actualizaciones.
En este caso, el cuadro es especialmente tenso porque el nuevo exploit apareció justo después de que Microsoft resolviera otras debilidades vinculadas al mismo investigador. La secuencia alimenta dudas sobre la velocidad de respuesta de la firma y sobre la capacidad de las organizaciones para absorber lanzamientos de seguridad cada vez más voluminosos.
RoguePlanet: el nuevo 0-day que apunta a Defender
Según reportó BleepingComputer, un investigador de seguridad bajo el seudónimo Nightmare Eclipse publicó el martes por la tarde un exploit de prueba de concepto para una nueva vulnerabilidad de Microsoft Defender llamada RoguePlanet. El fallo afectaría a dispositivos con Windows 10 y Windows 11 completamente actualizados.
De acuerdo con esa publicación, RoguePlanet permite obtener un símbolo del sistema con privilegios de SYSTEM mediante una vulnerabilidad de condición de carrera en Microsoft Defender. En la práctica, ese nivel de acceso representa uno de los mayores privilegios en Windows y puede servir para ejecutar acciones críticas dentro del sistema.
El investigador explicó que la explotación no es completamente estable porque depende precisamente de una condición de carrera. Aun así, aseguró haber conseguido una tasa de éxito del 100% en algunas máquinas, mientras que en otras el comportamiento fue menos confiable.
Nightmare Eclipse indicó que compartió el código en un repositorio Git autohospedado después de afirmar que Microsoft había retirado repositorios anteriores alojados en GitHub y GitLab. Esa acusación forma parte de un conflicto más amplio sobre divulgación de vulnerabilidades y recompensas por errores.
Las pruebas, según el propio investigador, se realizaron contra versiones oficiales y Canary de Windows 11, además de sistemas Windows 10 con las actualizaciones de seguridad de junio de 2026 instaladas. Cuando el exploit tiene éxito, se abre una consola de Windows con privilegios de SYSTEM.
La empresa de ciberseguridad ThreatLocker dijo a BleepingComputer que logró reproducir el fallo y confirmó que el exploit funcionaba contra sistemas Windows 11 totalmente actualizados con la actualización KB5094126 instalada. Además, compartió un video de demostración y señaló que la lista de permitidos de aplicaciones puede ofrecer una capa de defensa contra este ataque.
Danny Jenkins, CEO de ThreatLocker, afirmó que el análisis inicial de su compañía confirma que RoguePlanet es viable y funciona como se describe. También sostuvo que las organizaciones que usan application allowlisting pueden impedir la ejecución del exploit y reducir así la superficie de exposición.
De posible RCE a elevación local de privilegios
Nightmare Eclipse sostuvo que RoguePlanet fue concebido originalmente como una vulnerabilidad de ejecución remota de código. Según su explicación, el punto de partida estaba en el manejo de archivos de Microsoft Defender cuando estos se alojaban en comparticiones SMB remotas.
En su descripción técnica, el investigador indicó que un atacante podía coaccionar a una víctima para abrir un archivo .vhd o .vhdx en un servidor SMB remoto. Si la explotación salía bien, Defender terminaba sobrescribiendo sus propios archivos, lo que abría la puerta a un escenario de ejecución remota de código.
También mencionó otro escenario potencial en el que bastaría con inducir a la víctima a abrir una compartición SMB, siempre que estuvieran habilitadas determinadas configuraciones de evaluación de symlink. Sin embargo, aseguró que Microsoft endureció Defender a mediados de mayo al parchear silenciosamente la API mpengine!SysIO*, lo que bloqueó ataques de intersección.
Por ello, el investigador señaló que reescribir RoguePlanet para volverlo funcional le impidió completar otros escenarios. En este momento, dijo, no está claro si el exploit puede evolucionar otra vez hacia un RCE o si quedará limitado a una elevación local de privilegios.
Ese matiz importa. Una elevación local de privilegios suele requerir un punto de apoyo previo en el equipo afectado, mientras que una ejecución remota de código amplía mucho más el riesgo. Aun así, incluso un LPE puede ser extremadamente peligroso cuando se encadena con otros fallos o malware ya presente.
El Patch Tuesday más grande registrado
El contexto de RoguePlanet es un lanzamiento histórico de parches. En su revisión mensual, Zero Day Initiative indicó que Microsoft publicó en junio de 2026 un récord de 208 CVEs en Windows, componentes de Windows, Office, Edge basado en Chromium, Azure, .NET, Visual Studio, GitHub Copilot, Defender, Exchange Server, Hyper-V, Secure Boot y BitLocker.
Si se añaden vulnerabilidades de Chromium y otros errores de terceros, la cifra total de junio sube a 571 CVEs. De ese conjunto, 38 fueron catalogados como críticos y el resto como importantes. Dustin Childs subrayó que es el lanzamiento mensual más grande desde que empezó a llevar la cuenta en 2017, superando el anterior récord de 177.
La revisión también destacó una preocupación de fondo. A mayor volumen de parches, más difícil se vuelve para los equipos de TI probar compatibilidad, desplegar correcciones y verificar impactos operativos. Childs incluso planteó preguntas abiertas sobre cuánto de este nuevo volumen puede estar relacionado con herramientas de IA usadas en hallazgo de fallos, codificación o pruebas.
Dentro de ese bloque, uno de los errores ya parchados que más llamó la atención fue CVE-2026-41091, una vulnerabilidad de elevación de privilegios en Microsoft Defender. Microsoft la marcó como explotada activamente, y Zero Day Initiative señaló que el reconocimiento a varias personas distintas sugiere que la explotación en la naturaleza podría haber sido significativa.
La buena noticia en ese caso, según la revisión, es que Defender suele actualizarse automáticamente. Sin embargo, en redes aisladas o entornos sin esa configuración, los administradores necesitan verificar manualmente que se esté ejecutando la versión más reciente del motor o la plataforma correspondiente.
Entre los otros fallos que más preocupan en junio figuran CVE-2026-45657, una vulnerabilidad de ejecución remota de código en el núcleo de Windows con CVSS 9.8; CVE-2026-47291, un fallo RCE de HTTP.sys también con CVSS 9.8; y CVE-2026-44815, una vulnerabilidad RCE del servicio cliente DHCP, igualmente con CVSS 9.8.
Zero Day Initiative también destacó las correcciones para CVE-2026-45585 y CVE-2026-50507, ambas relacionadas con BitLocker. Según el análisis, estos parches parecen corresponder a las fallas conocidas públicamente como YellowKey y GreenPlasma, en otro capítulo de la disputa entre Microsoft y Nightmare Eclipse.
La disputa con Nightmare Eclipse escala
La relación entre Microsoft y Nightmare Eclipse ya venía deteriorándose desde meses atrás. Ars Technica recordó que el investigador ha divulgado múltiples vulnerabilidades de alta severidad, acompañadas en algunos casos de código de prueba de concepto, tras afirmar que Microsoft incumplió un acuerdo previo sobre la gestión de esos hallazgos.
Como parte de las correcciones de junio, Microsoft solucionó CVE-2026-45586, una vulnerabilidad de elevación local de privilegios que Nightmare Eclipse había revelado en mayo bajo el nombre GreenPlasma. Microsoft indicó que el fallo requería baja complejidad, no exigía interacción del usuario y probablemente podía llegar a explotarse activamente, aunque no había señales de uso real en ataques hasta ese momento.
Ars Technica también señaló que Microsoft corrigió MiniPlasma, una vulnerabilidad separada que la empresa rastrea como CVE-2020-17103, un fallo originalmente parchado hace seis años. Eso sugiere una regresión o una corrección incompleta en su forma inicial.
La empresa no había resuelto aún todas las vulnerabilidades divulgadas por el investigador. Entre ellas se encontraba YellowKey, un fallo que permitiría derrotar el cifrado completo de disco de BitLocker en escenarios con acceso físico al equipo. Microsoft ofreció instrucciones manuales de mitigación, pero no había corregido la causa subyacente en ese momento, según esa cobertura.
En paralelo, permanecía incierto el estado de otros fallos divulgados bajo nombres como RedSun y BlueHammer. Ambos forman parte de una serie de publicaciones que ha ido tensando la discusión sobre divulgación responsable, programas de bug bounty y los límites de la presión pública sobre grandes proveedores de software.
Microsoft había reaccionado antes advirtiendo que trabajaría con fuerzas del orden cuando las personas participen en actividades maliciosas que causen daño real a sus clientes. Esa postura fue interpretada por parte de la comunidad como una amenaza contra el investigador, aunque luego la empresa suavizó el mensaje y prometió no emprender acciones legales, de acuerdo con Ars Technica.
Qué significa esto para empresas y usuarios
Para organizaciones que gestionan flotas de Windows, junio deja una señal clara: el reto ya no es solo parchear, sino priorizar con rapidez. Un mes con más de 200 CVEs de Microsoft, sumado a 0-days en circulación y a fallos potencialmente explotables en servicios de red, obliga a revisar procesos internos de validación y respuesta.
Defender ocupa un lugar sensible en esa ecuación porque es una pieza de seguridad integrada en millones de equipos. Cuando el propio sistema de protección pasa a ser un vector de elevación de privilegios, el problema adquiere una dimensión operativa y reputacional mayor para Microsoft.
La validación independiente de RoguePlanet por parte de ThreatLocker no equivale a una explotación masiva en ataques reales, pero sí eleva la urgencia del monitoreo. También refuerza la importancia de controles compensatorios, como listas de aplicaciones permitidas, segmentación y supervisión del comportamiento de procesos privilegiados.
Microsoft no había emitido una respuesta pública sobre RoguePlanet al momento de la cobertura citada por BleepingComputer. Mientras tanto, el episodio deja a la empresa lidiando con una combinación incómoda: parches récord, 0-days públicos, fallos ya explotados y una disputa abierta con un investigador que ha demostrado capacidad para mantener la presión técnica y mediática.
Si algo deja junio de 2026 es que la seguridad de Windows atraviesa una fase de alta intensidad. Para los defensores, la prioridad inmediata es revisar el estado real de actualización de Defender y del sistema operativo. Para Microsoft, el desafío es más amplio: contener el riesgo técnico sin seguir alimentando un conflicto que ya se ha convertido en noticia por derecho propio.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Estados Unidos
IA promete más productividad, pero economistas advierten que el impacto laboral será desigual
Criptomonedas
Nueva York propone reglas para stablecoins alineadas con la Ley GENIUS, añade límites a reservas
Bitcoin
Bitcoin al borde de USD $60.000 por temor a una inflación más alta en Estados Unidos
billonarios