Una nueva vulnerabilidad en Windows encendió alarmas en el mundo de la ciberseguridad. Aunque no parece crítica a simple vista, ya se está usando en ataques reales y eso cambia todo. Microsoft confirmó que el problema afecta al Windows Shell y que puede exponer credenciales sin que hagas nada.
La falla, identificada como CVE-2026-32202, tiene una puntuación CVSS de 4,3. Fue corregida en una actualización mensual de seguridad, pero su impacto va más allá de ese número. Según el investigador Maor Dahan de Akamai, el origen está en un parche incompleto aplicado en febrero para otra vulnerabilidad previa.
Cómo funciona el ataque en Windows
El problema permite robar hashes de autenticación NTLM mediante archivos LNK que el sistema procesa automáticamente. Esto significa que no hace falta abrir un archivo o ejecutar algo de forma manual. El sistema puede iniciar la conexión por su cuenta y filtrar datos sensibles.
Microsoft describe un escenario donde el usuario debe ejecutar un archivo malicioso. Por todo esto, en ataques reales se vio algo distinto. El grupo APT28 logró explotar el comportamiento automático del sistema para evitar cualquier interacción del usuario.
Este tipo de vulnerabilidad entra en la categoría de suplantación de identidad. El atacante hace que un objeto malicioso parezca confiable y logra que el sistema lo trate como seguro. El resultado es el robo de credenciales sin alertas visibles y con un proceso que funciona correctamente desde el punto de vista del sistema.
El rol de APT28 y fallas encadenadas
APT28, también conocido como Fancy Bear o Forest Blizzard, combinó esta falla con otra vulnerabilidad crítica en MSHTML. Ambas permitieron esquivar medidas de seguridad de red y mejorar la efectividad del ataque. Microsoft terminó corrigiendo estos problemas en conjunto.
El exploit se apoya en cómo Windows maneja rutas de red UNC. Cuando el sistema detecta una dirección remota, establece automáticamente una conexión mediante SMB. En ese proceso, envía un hash NTLM sin que lo notes, lo que abre la puerta a ataques de retransmisión o fuerza bruta.
El parche anterior había agregado controles como SmartScreen para validar firmas digitales. Aun así, el mecanismo de autenticación seguía activo. Esto deja un vector abierto que mantiene el rendimiento del ataque y lo vuelve una opción confiable para actores maliciosos.
Microsoft actualizó la información oficial el 27 de abril de 2026 tras detectar errores en los datos iniciales publicados el 14 de abril. Se corrigieron valores como el índice de explotación y el vector CVSS. La compañía también reforzó las medidas para evitar este tipo de conexiones automáticas.
El punto más delicado sigue siendo el mismo. Windows puede iniciar la autenticación antes de verificar si el servidor es confiable. Esto permite que el atacante capture el hash NTLM y lo use para acceder a otros sistemas o intentar descifrar contraseñas.
El caso muestra cómo una corrección incompleta puede derivar en nuevos problemas. También deja en claro que incluso vulnerabilidades con puntuaciones moderadas pueden ser peligrosas si se explotan en escenarios reales.
