- Tres vulnerabilidades zero-day en Microsoft Defender (BlueHammer, RedSun y UnDefend) se están explotando o ya son públicas.
- BlueHammer (CVE-2026-33825) afecta a la elevación de privilegios y se ha parcheado en el ciclo de actualizaciones de abril.
- RedSun y UnDefend siguen sin corrección completa y permiten elevar privilegios y desactivar actualizaciones de Defender.
- Usuarios y empresas en España y Europa deben aplicar los parches de abril y revisar medidas adicionales de protección.
Las vulnerabilidades zero-day en Microsoft Defender han vuelto a situar la seguridad de Windows 10 y Windows 11 bajo los focos. Investigadores y empresas de ciberseguridad han confirmado que varios grupos de atacantes están aprovechando fallos críticos en el antivirus integrado de Microsoft para ganar control sobre los equipos afectados, incluidos sistemas utilizados en hogares, pymes y organismos públicos en España y el resto de Europa.
En este contexto, las actualizaciones de seguridad dejan de ser un trámite y pasan a ser casi una cuestión de urgencia. Tres fallos de día cero, bautizados como BlueHammer, RedSun y UnDefend, permiten desde escalar privilegios hasta desactivar las propias defensas del sistema, lo que abre la puerta a ataques más amplios si el usuario o la empresa no reaccionan a tiempo.
Qué se sabe de las vulnerabilidades zero-day en Microsoft Defender
En las últimas semanas se ha confirmado la existencia de tres vulnerabilidades zero-day distintas en Microsoft Defender, presentes tanto en Windows 10 como en Windows 11. Se trata de fallos en el componente antimalware que viene instalado de serie con el sistema operativo y que muchos usuarios utilizan como única capa de protección frente a virus, ransomware y otras amenazas.
Las tres vulnerabilidades se enmarcan en un escenario especialmente delicado: en un zero-day, el desarrollador aún no ha publicado un parche cuando el problema ya está siendo explotado o se ha hecho público. En el caso de BlueHammer, RedSun y UnDefend, la situación ha escalado rápido por dos motivos: se han observado ataques reales y el código de explotación se ha filtrado abiertamente, facilitando que más actores maliciosos lo incorporen a sus herramientas.
La empresa de ciberseguridad Huntress Labs ha advertido de que estos fallos no son teóricos, sino que se están usando en campañas activas. Según sus análisis, al menos uno de ellos, BlueHammer, se habría utilizado desde el 10 de abril para comprometer equipos Windows, lo que refuerza la sensación de que los atacantes se mueven con rapidez cuando aparecen nuevas brechas.
Además, investigadores independientes han localizado indicios de que algunos atacantes interactúan directamente con los sistemas afectados, con evidencias que “indican la actividad de los actores maliciosos que utilizan el teclado”, una señal de que en ciertos casos se estaría produciendo un acceso casi interactivo a los equipos comprometidos.
BlueHammer, RedSun y UnDefend: tres fallos críticos en el visor
Las tres vulnerabilidades comparten protagonista —Microsoft Defender— pero su impacto técnico es distinto. Todas, eso sí, tienen en común que pueden servir como trampolín para tomar el control del equipo si el atacante consigue una primera vía de entrada.
BlueHammer ha sido la primera en recibir una referencia oficial por parte de Microsoft, que la ha clasificado como CVE-2026-33825. Se trata de un fallo de elevación de privilegios que, en la práctica, permite que un atacante local escale permisos dentro del sistema y llegue a niveles muy altos, lo que le da margen para modificar configuraciones, instalar malware o desactivar protecciones.
RedSun, por su parte, es especialmente preocupante al permitir elevar privilegios hasta el nivel SYSTEM, el máximo en Windows. Según el análisis técnico difundido por investigadores, esta vulnerabilidad aprovecha una combinación inesperada de comportamientos en Defender: en determinadas circunstancias, el antivirus restaura archivos sospechosos en ubicaciones protegidas, otorgándoles permisos elevados de forma no intencionada. Esto ofrece a un atacante una vía muy potente para consolidar el control sobre la máquina.
La tercera vulnerabilidad, UnDefend, apunta directamente a la capacidad del sistema para mantenerse protegido en el tiempo. Este fallo facilita que un usuario malintencionado, o un malware que ya haya entrado en el equipo, logre desactivar o interferir con las actualizaciones y la protección de Microsoft Defender. Con ello, el sistema queda sin las últimas firmas y mejoras de seguridad, lo que deja la puerta abierta a futuras infecciones sin que el antivirus pueda reaccionar correctamente.
Según los informes compartidos por Huntress y otros analistas, las tres vulnerabilidades han salido a la luz prácticamente al mismo tiempo, generando una situación de máxima tensión para los equipos de respuesta de Microsoft y para las organizaciones que dependen de Windows Defender como parte esencial de su estrategia de ciberseguridad.
Filtración del exploit y presión sobre Microsoft
Una parte clave de este caso está en cómo se han dado a conocer estas vulnerabilidades zero-day en Microsoft Defender. El investigador conocido como Chaotic Eclipse mostró su frustración con la lentitud del Microsoft Security Response Center (MSRC) a la hora de gestionar los fallos que había reportado, y decidió publicar los códigos de explotación de forma deliberada.
Esta filtración pública de los exploits ha tenido un doble efecto. Por un lado, ha aumentado notablemente el riesgo, al poner en manos de más actores maliciosos instrucciones concretas para aprovechar los fallos. Por otro, ha servido como una llamada de atención tanto para Microsoft como para la comunidad, al evidenciar el descontento de algunos investigadores con los tiempos de respuesta y la comunicación en el programa de divulgación responsable.
El propio investigador explicó que su objetivo era forzar una reacción más rápida por parte de la compañía y concienciar a la industria sobre la gravedad de las brechas. Sin embargo, este tipo de decisiones también reabre el debate sobre dónde está la línea entre presionar a un proveedor para que actúe y exponer a millones de usuarios a un riesgo adicional al liberar herramientas de ataque.
Mientras tanto, firmas de seguridad de Estados Unidos y Europa han comenzado a ajustar sus reglas de detección y a emitir avisos específicos para clientes corporativos, especialmente aquellos que se apoyan de forma casi exclusiva en Defender para proteger estaciones de trabajo, servidores y portátiles corporativos.
Patch Tuesday de abril: parche para BlueHammer y foco en Defender
La respuesta de Microsoft ha llegado a través del ciclo de actualizaciones de seguridad de abril, el ya conocido “Patch Tuesday” que se distribuye el segundo martes de cada mes a usuarios de todo el mundo, incluidos millones de equipos en España y el resto de Europa. En esta ocasión, el lote ha sido especialmente amplio, con 167 vulnerabilidades corregidas en Windows, Office y otros componentes.
Dentro de este paquete, destaca la corrección de dos vulnerabilidades de día cero: una en SharePoint Server y otra en Microsoft Defender. En el caso que nos ocupa, la compañía ha publicado un parche para CVE-2026-33825 (BlueHammer), mitigando oficialmente este fallo de elevación de privilegios en Defender que ya había sido señalado como especialmente delicado.
El índice de gravedad CVSS asignado a esta vulnerabilidad se sitúa en 7,8 puntos sobre 10, reflejando el impacto que puede tener si un atacante local la explota con éxito. Con privilegios de SYSTEM, es posible desactivar defensas, instalar software malicioso persistente o robar credenciales almacenadas, entre otras acciones de alto riesgo.
Pese a la publicación del parche, los descubridores originales del fallo, conocidos como Nightmare Eclipse, han señalado que algunos patrones de ataque observados siguen siendo viables incluso tras instalar la actualización de abril. Esto sugiere que determinados escenarios o variantes de explotación pueden no estar completamente cubiertos y que podría ser necesario un endurecimiento adicional por parte de Microsoft.
Al mismo tiempo, otros dos zero-day en Defender —relacionados con RedSun y UnDefend— siguen sin contar con actualizaciones específicas públicas, lo que deja un margen de maniobra a los atacantes. La recomendación de los expertos, en este punto, es no bajar la guardia solo porque haya llegado un parche parcial: los administradores deben seguir atentos a nuevas comunicaciones y boletines del fabricante.
Impacto para usuarios y empresas en España y Europa
En el ámbito europeo, donde Windows 10 y Windows 11 siguen siendo el sistema operativo predominante en oficinas, centros educativos y hogares, la existencia de vulnerabilidades zero-day en Microsoft Defender tiene un impacto directo. Muchas organizaciones dependen del antivirus integrado por cuestiones de coste, facilidad de gestión o integración con otros servicios de Microsoft 365.
En España, pymes, despachos profesionales y administraciones que no cuentan con equipos de seguridad dedicados suelen confiar en Windows Defender como primera y, en ocasiones, única capa antimalware. Un fallo que permita desactivar las actualizaciones (como UnDefend) o elevar privilegios hasta SYSTEM (como RedSun) puede convertir un incidente menor en una brecha grave que afecte a datos de clientes o información sensible.
El riesgo es especialmente significativo en entornos mixtos donde conviven Windows 10 y Windows 11, algunos de ellos en programas de soporte extendido (ESU). En estos escenarios, la gestión desigual de las actualizaciones y las políticas de seguridad puede crear “eslabones débiles” dentro de la red interna, facilitando el movimiento lateral de los atacantes una vez que han comprometido un equipo.
Además, el hecho de que al menos una de las vulnerabilidades haya sido explotada desde principios de abril implica que parte de los equipos europeos pudieron estar expuestos durante semanas sin ser plenamente conscientes. Esto hace recomendable revisar registros de seguridad, alertas de soluciones EDR (si las hay) y comportamiento anómalo reciente en estaciones de trabajo y servidores.
Para las empresas que trabajan con datos especialmente sensibles —como bufetes, consultoras, clínicas o proveedores tecnológicos—, estas brechas en Defender refuerzan la necesidad de combinar el antivirus de Microsoft con controles adicionales, como filtrado de correo, segmentación de redes, autenticación multifactor y políticas restrictivas de privilegios.
Medidas de mitigación mientras llegan más parches
Mientras Microsoft termina de cerrar todos los frentes abiertos con estas vulnerabilidades zero-day en Microsoft Defender, los especialistas recomiendan adoptar una serie de medidas para reducir al máximo el riesgo, tanto en entornos domésticos como profesionales.
Lo primero es verificar que se ha instalado la actualización de seguridad de abril que incluye la corrección de BlueHammer. En Windows 10 y Windows 11, esto se realiza desde el panel de Configuración, en el apartado Windows Update. Bastará con pulsar en “Buscar actualizaciones” y comprobar que el sistema ha aplicado los últimos paquetes distribuidos por Microsoft.
Para quienes gestionan varios equipos, como administradores de sistemas en empresas españolas o europeas, puede ser preferible optar por la descarga manual de las actualizaciones desde el Catálogo de Microsoft, buscando los identificadores de los parches acumulativos de abril según la versión de Windows implantada. Esta vía permite un mayor control del despliegue y facilita la verificación de que todas las máquinas críticas están al día.
Otra recomendación habitual de los analistas es considerar, de forma temporal, el uso de un antivirus alternativo reconocido como capa complementaria en aquellos equipos más expuestos, siempre evaluando el impacto en rendimiento y compatibilidad. La idea no es sustituir definitivamente a Defender en todos los casos, sino reforzar la protección mientras se aclara el alcance real de RedSun y UnDefend.
Por último, conviene reforzar hábitos básicos de seguridad: limitar el uso de cuentas con privilegios elevados, restringir la instalación de software no autorizado, formar a los empleados frente a correos y enlaces sospechosos y, en el ámbito doméstico, evitar desactivar o pausar las actualizaciones de Windows durante periodos prolongados.
Todo este episodio alrededor de BlueHammer, RedSun y UnDefend en Microsoft Defender vuelve a recordar que la seguridad en Windows es un objetivo en constante movimiento: aunque los parches de abril han cerrado parte de los agujeros, siguen abiertas algunas incógnitas sobre el alcance real de las brechas y la eficacia total de las mitigaciones aplicadas, por lo que mantenerse informado, revisar Windows Update con frecuencia y combinar varias capas de defensa resulta clave para usuarios y organizaciones en España y el resto de Europa.