Usuarios normales se convierten en “Superman” — en el peor sentido: Windows otorga privilegios de administrador a cualquiera
Malas noticias para quienes no han actualizado Windows desde noviembre
Las autoridades de Estados Unidos advirtieron con urgencia sobre un problema en Windows que permite tomar el control total de un equipo. Se trata de una vulnerabilidad mediante la cual un atacante con privilegios de usuario estándar puede convertirse en administrador del sistema. CISA exigió a las agencias federales que protejan sus sistemas con prontitud contra la vulnerabilidad CVE-2025-60710. El fallo afecta al componente Windows Task Host, que se encarga de iniciar procesos en segundo plano y de cerrar correctamente las aplicaciones al apagar el equipo.
El problema está relacionado con el manejo incorrecto de enlaces al acceder a archivos. Un atacante puede explotar la vulnerabilidad en Windows 11 y Windows Server 2025 para elevar privilegios hasta el nivel SYSTEM y obtener el control total del dispositivo. Para el ataque bastan privilegios básicos de usuario, y la explotación no requiere acciones complejas.
Microsoft corrigió la vulnerabilidad ya en noviembre de 2025, pero ahora CISA la ha incluido en su catálogo de vulnerabilidades activamente explotadas en ataques. La agencia no divulgó detalles de los incidentes, y Microsoft aún no ha confirmado la explotación en sus avisos.
Se dio a las agencias civiles federales un plazo de dos semanas para instalar las actualizaciones en el marco de la directiva BOD 22-01, adoptada en 2021. El requisito formalmente se aplica solo a las entidades gubernamentales de EE. UU., pero la agencia recomienda encarecidamente a todas las empresas que instalen las correcciones lo antes posible y verifiquen la seguridad de sus redes.