Recortaron una imagen y perdieron la contraseña: la herramienta "Recortes" de Windows no es tan inofensiva
Mostramos lo sencillo que es convertirse en víctima de un ataque informático al realizar tareas rutinarias.
En la herramienta integrada en Windows Recortes se descubrió una vulnerabilidad que convierte un simple clic en un enlace en una filtración inadvertida de credenciales. El escenario de ataque parece cotidiano: se abre la conocida herramienta del sistema, en pantalla no ocurre nada sospechoso, y en segundo plano el atacante ya obtiene datos para un ataque posterior.
Se trata de la vulnerabilidad CVE-2026-33829. El problema está relacionado con el manejo de deep link a través del esquema ms-screensketch. En las versiones vulnerables de Recortes el parámetro filePath acepta una ruta sin la verificación adecuada, por lo que un atacante puede insertar una dirección UNC que apunte a un servidor SMB controlado por el atacante. Tras esa solicitud, Windows envía automáticamente una respuesta Net-NTLM, que puede utilizarse para obtener la contraseña fuera de la red o en ataques de retransmisión NTLM dentro de la infraestructura corporativa.
La vulnerabilidad fue descubierta por especialistas de Black Arrow y la divulgación se coordinó con Microsoft antes de publicar los detalles. Más tarde, el equipo publicó código de demostración que muestra lo sencillo que puede ser lanzar el ataque. Basta con alojar una página o un enlace malicioso y convencer a la víctima de que lo visite. Tras abrir Recortes intenta descargar el archivo remoto por SMB y así revela el hash de autenticación.
El peligro de CVE-2026-33829 se ve acrecentado por un escenario de engaño verosímil. Recortes realmente se ejecuta, por lo que el enlace puede disfrazarse fácilmente como una solicitud para recortar el fondo de pantalla corporativo, revisar una foto para un pase o abrir un supuesto documento interno. Desde el lado de la víctima todo parece natural, mientras que la transmisión de datos ocurre de forma silenciosa.
Microsoft cerró la brecha en el Patch Tuesday de abril, publicado el 14 de abril de 2026. Según los autores del informe, la compañía recibió el aviso de la vulnerabilidad el 23 de marzo, y el día de la salida del parche se produjo la divulgación pública y la publicación del código PoC.
Se recomienda a usuarios y organizaciones instalar cuanto antes la actualización de seguridad de abril. Adicionalmente, se aconseja a los equipos de seguridad de la información monitorizar conexiones SMB salientes inesperadas al puerto 445 y, cuando sea posible, bloquear ese tráfico en el perímetro de la red.