Venden en la darknet una vulnerabilidad de Windows por 220.000 dólares: el lote, carísimo y casi inútil.
Cómo los hackers se aprovechan de quienes temen actualizar sus sistemas
En uno de los foros clandestinos en la darknet apareció un lote inusual: un vendedor desconocido ofrece una vulnerabilidad en Windows por 220 000 dólares. El fallo afecta al servicio de Escritorio remoto y permite obtener el control completo del sistema.
El anuncio lo publicó un usuario con el apodo Kamirmassabi. La cuenta apareció en el foro recientemente. El autor publicó el mensaje en la sección de malware y vulnerabilidades y afirmó que vende una «vulnerabilidad de día cero». A los compradores potenciales se les ofrece escribir un mensaje privado y discutir el trato.
Anuncio de la venta de la vulnerabilidad en el foro (@DarkWebInformer)
Se trata de la vulnerabilidad identificada como CVE-2026-21533. El problema está relacionado con el servicio de Escritorios remotos de Windows. El fallo permite modificar una clave de configuración determinada del servicio en el registro, relacionada con el protocolo TermService. Tras esa manipulación, el atacante puede elevar privilegios al nivel de la cuenta del sistema en el equipo atacado.
Sin embargo, la explotación requiere una condición. El atacante debe ya tener acceso autenticado con bajos privilegios al sistema local. Con mayor frecuencia, ese acceso inicial se obtiene mediante phishing. Se convence a la víctima de descargar un archivo malicioso o ejecutar un programa infectado.
Un dato interesante es otro. Microsoft ya solucionó la vulnerabilidad. La corrección fue incluida en el paquete de actualizaciones de seguridad de febrero Patch Tuesday. El fallo afectaba a diversas versiones de Windows 10 y Windows 11, así como a las ediciones de servidor desde Windows Server 2012 hasta Windows Server 2025.
Lo más probable es que el vendedor cuente con un problema generalizado en las redes corporativas. Muchas empresas instalan las actualizaciones de seguridad con retraso. Mientras los sistemas permanezcan sin la corrección, la vulnerabilidad conserva su valor para los atacantes.
Ofertas similares muestran una tendencia notable en el mercado clandestino. Los integrantes del entorno delictivo cibernético actúan cada vez más como proveedores de servicios. En lugar de lanzar ataques por cuenta propia, los delincuentes venden herramientas o acceso. Una semana antes, los especialistas descubrieron un esquema en el que una empresa ficticia, supuestamente ofreciendo un sistema de gestión remota, alquilaba a los atacantes certificados legítimos de firma electrónica.
A los administradores de redes corporativas ya se les recomendó instalar lo antes posible la actualización de seguridad de febrero de 2026. Tras instalar la corrección, la vulnerabilidad CVE-2026-21533 deja de representar una amenaza.