✨︎ Resumen (TL;DR):
- Microsoft reconoció la vulnerabilidad CVE-2026-50656, apodada RoguePlanet, con una calificación de peligro de 7.8.
- El fallo permite a atacantes locales obtener privilegios de administrador (SYSTEM) en Windows 10 y 11.
- La filtración es parte de una campaña de venganza de un investigador que lanza exploits justo después de los parches mensuales.
Microsoft confirmó que ya trabaja en una actualización de seguridad para corregir RoguePlanet, una vulnerabilidad de día cero en el motor de escaneo de Microsoft Defender que compromete la seguridad de Windows 10 y Windows 11.
El fallo, registrado formalmente como CVE-2026-50656, tiene una puntuación de gravedad CVSS de 7.8. Esta vulnerabilidad permite que un atacante local con pocos privilegios eleve su control hasta el nivel SYSTEM, el rango de administración más alto en una computadora de Microsoft.
La vulnerabilidad fue reportada el 16 de junio de 2026, pocas horas después de que la empresa lanzara su actualización masiva de Patch Tuesday. La firma de seguridad ThreatLocker ya comprobó que el exploit funciona perfectamente en equipos completamente actualizados con los parches de junio.
¿Cómo funciona el ataque de RoguePlanet?
RoguePlanet es una vulnerabilidad de día cero que se aprovecha de una condición de carrera tipo Time-of-Check to Time-of-Use (tiempo de verificación contra tiempo de uso) en el motor de escaneo en tiempo real de Windows Defender.
Al no requerir interacción del usuario y ser un ataque de baja complejidad, Microsoft clasificó la posibilidad de ataque como “Más probable” en su índice de explotabilidad, aunque todavía no detectan casos activos en el mercado.
Una campaña de venganza contra Microsoft
Este hallazgo no es un hecho aislado. RoguePlanet representa el octavo exploit publicado por el investigador de seguridad que opera bajo el alias Nightmare Eclipse (también conocido como Chaotic Eclipse) desde principios de abril de 2026.
Los analistas de seguridad describen esto como una campaña de represalia dirigida contra el gigante tecnológico. El atacante publica los códigos de ataque de manera estratégica justo después del Patch Tuesday mensual. Con esta táctica, se asegura de que Microsoft tarde semanas en desarrollar y liberar una solución oficial.
Anteriormente, otros tres exploits de este mismo investigador, llamados BlueHammer, RedSun y UnDefend, fueron aprovechados por cibercriminales antes de que existieran parches. Incluso la firma Huntress detectó el uso de estas herramientas en intrusiones reales desde abril de 2026.
Medidas de mitigación temporales
Dado que Microsoft aún no define una fecha exacta para el parche, los administradores de sistemas deben tomar precauciones de forma manual. Se recomiendan las siguientes acciones preventivas:
- Restringir el montaje de archivos VHD y VHDX mediante políticas de grupo corporativas, lo que bloquea el método de entrega principal usado por el exploit actual.
- Activar las reglas de Reducción de Superficie de Ataque (ASR) dentro de Defender para entorpecer las actividades posteriores a la intrusión.
- Implementar listas de aplicaciones permitidas que impidan la ejecución de software no firmado en carpetas donde los usuarios comunes tienen permisos de escritura.
Por ahora, Microsoft se limitó a declarar que está “trabajando para proporcionar una actualización de seguridad de alta calidad” y actualizará el registro del CVE en cuanto el parche esté listo para su distribución.
