Una sola DLL deja a Windows desprotegido: una función nativa de Microsoft actúa como 'interruptor' para las soluciones EDR

A veces, para «apagar» la protección en Windows no es necesario romper el antivirus directamente. Basta con provocar que no pueda iniciarse correctamente. Un especialista con el seudónimo Two Seven One Three (TwoSevenOneT) publicó en GitHub la herramienta EDRStartupHinder, que tiene como objetivo precisamente eso: impide que los antivirus y las soluciones EDR se inicien al arrancar el sistema, usando un mecanismo legítimo de redirección de rutas en Windows.

La idea se basa en Bindlink: es una API que permite «vincular» una ruta virtual local a otro lugar, es decir, redirigir de forma transparente las accesos a archivos. Microsoft describe los Bind Links como una forma de redirigir el espacio de nombres del sistema de archivos a través del controlador bindflt.sys; originalmente se diseñó para compatibilidad y para escenarios en que los archivos deben «parecer» locales aunque estén físicamente en otro sitio.

Los autores de EDRStartupHinder emplean ese mecanismo en un escenario de ataque: durante el arranque de Windows la herramienta crea una redirección para una de las DLL críticas de System32, de modo que el proceso de protección objetivo reciba una versión «inapropiada» de la biblioteca y termine. En la descripción del proyecto se indica explícitamente que la herramienta impide el inicio de Antivirus y de EDR al redirigir una DLL clave desde System32 a otra ubicación durante la fase de arranque.

¿Por qué esto funciona contra productos modernos? En un artículo de Zero Salarium, citado por el repositorio, se explica la lógica: muchos procesos de protección se inician como PPL (Proceso Protegido Ligero) y son más estrictos respecto a lo que se les permite cargar. Si en una fase temprana se sustituye una dependencia crítica de modo que no supere las comprobaciones, el proceso de protección puede autodesactivarse antes de llegar a activar sus mecanismos de autorresguardo. El autor afirma que verificó el enfoque con Windows Defender en Windows 11 25H2 y añade por separado que probó la técnica también en varias soluciones comerciales, aunque sin revelar sus nombres.

El lanzamiento «Versión 1.0» apareció el 11 de enero de 2026. Es otro ejemplo de cómo funciones pensadas para comodidad y compatibilidad se convierten en herramientas para eludir la protección, especialmente cuando se trata de la fase temprana del arranque, donde el atacante tiene la oportunidad de ser «el primero».

Desde el punto de vista práctico, para los defensores lo importante no es un binario concreto, sino la propia categoría técnica. En la misma publicación de Zero Salarium se sugiere, como medida básica de defensa, vigilar atentamente el uso de Bindlink (en particular, la actividad en torno a bindlink.dll) y la aparición de servicios sospechosos que puedan iniciarse muy pronto, incluso antes de los componentes de EDR. Si en una infraestructura aparecen de repente servicios extraños «para compatibilidad», y en una máquina la protección habitual desaparece tras un reinicio, ese es precisamente el tipo de cadena que conviene revisar en primer lugar.