Noticias

Un zero-day en Windows Defender: RoguePlanet dejó al antivirus de Windows como puerta a privilegios de SYSTEM (y una novela con el hacker que lo destapó)

Ilustración editorial sobre el zero-day RoguePlanet en el antivirus Windows Defender

Microsoft acaba de tapar un agujero incómodo: un zero-day en Windows Defender —bautizado RoguePlanet (CVE-2026-50656)— que dejaba que un atacante ya metido en tu PC se convirtiera en SYSTEM, el usuario todopoderoso de Windows, incluso en equipos con Windows 10 y 11 al día. Lo irónico: el bache estaba en el propio antivirus que viene de fábrica para cuidarte. Y detrás hay una novela con un investigador anónimo, repositorios borrados y Microsoft amenazando con abogados. Vamos por partes, sin humo ni pánico.

Zero-day en Windows Defender: ilustración del escudo de Microsoft Defender resquebrajado con el nombre RoguePlanet

Spoiler para que respires: no tenés que correr a hacer nada —Defender actualiza su motor solo—, no es un ataque remoto, y ni siquiera funciona siempre. Pero la historia deja una lección de seguridad que sí vale para vos. Te la contamos entera.

Qué es el zero-day en Windows Defender y por qué asusta (pero menos de lo que parece)

RoguePlanet es una escalada de privilegios local: aprovecha una «condición de carrera» (una pelea de milisegundos por un archivo) en el motor de Microsoft Defender para que un proceso común termine ejecutándose como NT AUTHORITY\SYSTEM. Traducido: no entra a tu PC, sino que —si alguien ya está adentro con permisos limitados— le da las llaves maestras. Según el boletín oficial de Microsoft (MSRC), tiene un puntaje CVSS de 7.8, severidad «Importante» (no «Crítica»), y —clave— el vector es local: el atacante necesita estar ya en la máquina. Microsoft la marcó como «explotación más probable», pero sin explotación activa conocida al momento del parche.

DatoDetalle
Nombre / CVERoguePlanet — CVE-2026-50656
TipoEscalada de privilegios local (hasta SYSTEM)
GravedadCVSS 7.8 — «Importante»
DóndeMotor de Microsoft Defender (Windows 10 y 11)
¿Es remoto?No: el atacante ya tiene que estar en tu PC
EstadoParcheado (motor 1.1.26060.3008), sin explotación activa conocida
¿Tenés que hacer algo?No: Defender actualiza su motor solo 🎉
Infografía con la anatomía del zero-day RoguePlanet: CVE, gravedad y estado del parche

El propio autor del exploit fue honesto sobre lo caprichoso que es, algo que ayuda a bajar el pánico:

The exploit is a race condition, so it’s a hit or miss. I have managed to get a 100% success rate on some machines while it struggled to work on others.Nightmare Eclipse, el investigador que publicó RoguePlanet — vía BleepingComputer

(«Es una condición de carrera, así que es cara o cruz: en algunas máquinas tuve 100% de éxito y en otras costaba»). Microsoft corrigió el fallo fuera del Patch Tuesday, con una actualización del motor de Defender —el mismo componente que se refresca solito varias veces al día—, unas cuatro semanas después de que el código de prueba se hiciera público.

La novela: Microsoft, el hacker y los repos borrados

Acá se pone jugoso. RoguePlanet no llegó por un reporte prolijo: lo publicó «Nightmare Eclipse» (también firma como Chaotic Eclipse), un investigador anónimo en plena guerra fría con Microsoft por cómo maneja la divulgación de fallos y su programa de recompensas. Dice ser ex-empleado —eso no está confirmado— y ya soltó una seguidilla de zero-days de Windows con nombre propio (RedSun, UnDefend, BlueHammer, la fuga de BitLocker YellowKey…) publicando los detalles antes de que hubiera parche. Denuncia que Microsoft le borró la cuenta con la que reportaba bugs, le retuvo pagos y le quitó el crédito; Microsoft, por su lado, habría bajado sus repositorios de GitHub y GitLab y llegó a amenazar con acción legal vía su Digital Crimes Unit.

La postura de la empresa es clara:

Uncoordinated disclosures that put proof-of-concept code for unpatched vulnerabilities into the hands of bad actors are never justifiable.Vocero de Microsoft — vía The Register

(«Las divulgaciones no coordinadas que ponen código de prueba de fallos sin parchear en manos de actores maliciosos nunca son justificables»). Pero no todos le compran el papel de víctima. Katie Moussouris —la persona que creó el programa de recompensas de Microsoft— le pegó a la reacción de la empresa:

Invoking the term «responsible» disclosure was the first strike in my book. Adding a threat of prosecution by mentioning [the Digital Crimes Unit] was over the top, and will only result in security researchers distrusting Microsoft.Katie Moussouris, fundadora de Luta Security — vía TechCrunch
Ilustración editorial del enfrentamiento entre una corporación y un investigador de seguridad anónimo

La moraleja del culebrón no es menor: hace nada te contábamos que Microsoft presume que usa IA para cazar vulnerabilidades en Windows. Y sin embargo, este agujero en su propio antivirus lo encontró y lo publicó una sola persona enojada. La caza de bugs sigue siendo, en gran parte, humana.

¿Alcanza con el antivirus que viene de fábrica?

Pregunta obligada: si el fallo estaba en Defender, ¿hay que reemplazarlo? Vamos con la verdad completa, porque acá circula mucho mito. Primero, un detalle estructural que dejó en claro este caso: un antivirus no puede detectar un agujero en sí mismo. Como resumió la firma de seguridad Morphisec (que, aviso, vende soluciones EDR, así que barre para su lado):

A vulnerability inside the detection engine cannot be caught by that same engine.Morphisec (proveedor de EDR) — vía Morphisec

Ahora, el mito que hay que matar: no podés «sumar» un segundo antivirus arriba de Defender. Según la documentación oficial de Microsoft, en Windows 10 y 11 de hogar, apenas instalás un antivirus de terceros, Windows desactiva automáticamente a Defender. Corrés uno a la vez: el modo en que dos motores conviven en paralelo es solo para entornos empresariales con Defender for Endpoint. O sea, la decisión no es «Defender + otro», es «Defender o otro». Se trata de elegir con qué motor te protegés, no de apilar escudos.

AspectoDefender (de fábrica)Antivirus dedicado (ESET / Bitdefender)
PrecioGratis, ya viene con WindowsLicencia paga
ActivaciónYa está prendido, cero configuraciónLo instalás vos
¿Se suman?No: al instalar un AV dedicado, Windows apaga Defender. Corrés uno solo.
VentajaIntegrado, sin costo, decente para el usuario promedioOtro motor de detección + control y extras (anti-phishing, VPN, ransomware)

¿La verdadera «defensa en profundidad»? No son dos antivirus peleándose: son capas que no se pisan —tener backups, mantener Windows actualizado, no ejecutar cualquier cosa que baja de internet, y usar cuentas sin permisos de administrador para el día a día.

Infografía comparando el antivirus Defender de fábrica con un motor de antivirus dedicado y las capas de seguridad reales

¿Y esto qué significa para vos?

Persona reforzando la seguridad de su PC con varias capas: escudo, copia de seguridad y actualizaciones

Bajemos a tierra. Uno: no entres en pánico. RoguePlanet es una escalada local —alguien tiene que estar ya adentro de tu equipo— y Defender ya se autoactualizó el motor; lo único que tenés que hacer es dejar que Windows se actualice, que es lo que hacés (¿no?). Dos: la lección real es que ninguna protección es infalible, ni siquiera la que viene de fábrica, así que la seguridad se juega en las capas, no en un solo escudo mágico.

Tres, y sin venderte humo: esto no es motivo para salir corriendo a comprar un antivirus. Defender es más que decente para el usuario promedio. Pero si te gusta tener más control, un motor de detección distinto o extras como anti-phishing y protección específica contra ransomware, elegir un motor de antivirus dedicado es una opción válida —recordando siempre que reemplaza a Defender, no lo suma. Y si querés ver cómo un antivirus con capa anti-phishing ayuda contra otras amenazas más cotidianas, lo charlamos cuando cubrimos el phishing con IA a cuentas de Microsoft 365.

Preguntas frecuentes sobre el zero-day de Windows Defender

¿Tengo que hacer algo para protegerme de RoguePlanet?

No hace falta ninguna acción manual. Microsoft parcheó el fallo actualizando el motor de Microsoft Defender (versión 1.1.26060.3008), que se refresca automáticamente varias veces al día. Solo asegurate de que Windows Update esté activo, que es como recibís esas actualizaciones.

¿Me pueden hackear con esta vulnerabilidad?

No de forma remota. RoguePlanet es una escalada de privilegios local: un atacante ya tiene que tener acceso a tu equipo con permisos limitados para usarla y convertirse en SYSTEM. No sirve para «entrar» a tu PC desde internet. Es grave en cadenas de ataque, pero no es un «te hackean por abrir un mail».

¿Conviene reemplazar Windows Defender por otro antivirus?

No es obligatorio: Defender es sólido para el uso cotidiano. Recordá que no podés correr dos antivirus a la vez —al instalar uno dedicado, Windows apaga Defender—. Elegir ESET o Bitdefender tiene sentido si querés otro motor, más control o funciones extra, no como parche a este caso puntual.

¿Por qué Microsoft y el investigador están enfrentados?

El investigador «Nightmare Eclipse» publicó varios fallos con código de prueba antes de que hubiera parche, denunciando que Microsoft no le pagó recompensas ni le dio crédito. Microsoft sostiene que las divulgaciones no coordinadas ponen en riesgo a los usuarios y amenazó con acciones legales. Es una disputa abierta sobre cómo debe divulgarse un bug.

¿Team Defender de fábrica o team motor dedicado? Contanos en los comentarios ⬇️
Elegí con qué motor te protegés →

Deja un comentario