Zero-Click en Windows: descubren nuevo esquema para robar datos mediante el Explorador de archivos
Incluso tras las actualizaciones, las contraseñas siguen siendo vulnerables.
Un descuido en una actualización de seguridad abrió una nueva vía para el ataque. Al corregir la vulnerabilidad que utilizó el grupo APT28, los desarrolladores cerraron la ejecución remota de código, pero dejaron otro problema que permite obtener credenciales sin necesidad de un solo clic.
Especialistas de Akamai descubrieron que, después de corregir la vulnerabilidad CVE-2026-21510 en Windows, permaneció un mecanismo oculto que obliga al equipo de la víctima a conectarse por sí mismo al servidor del atacante. El nuevo defecto recibió el número CVE-2026-32202. El ataque no requiere acciones por parte del usuario. Basta con abrir la carpeta que contiene el archivo malicioso.
La campaña la realiza el grupo Fancy Bear, que a finales de 2025 atacó a Ucrania y a varios países de la UE, usando accesos directos de Windows especialmente preparados. Esos archivos con la extensión LNK ejecutaban una cadena de vulnerabilidades, incluyendo CVE-2026-21513 y CVE-2026-21510. A través de ellas los atacantes eludían la protección del sistema y descargaban código malicioso desde un servidor remoto.
El archivo parecía inofensivo, pero en su interior contenía una estructura especial que obligaba al Explorador de Windows a tratar el recurso remoto como un elemento del Panel de control. El sistema cargaba una biblioteca desde el servidor del atacante sin verificar la procedencia ni advertir al usuario.
En febrero de 2026 Microsoft publicó una corrección. La actualización añadió una verificación mediante un mecanismo de protección integrado que ahora analiza el origen del archivo antes de ejecutarlo. A primera vista, el problema está resuelto, ya que los componentes no firmados o sospechosos ya no se ejecutan. Pero la comprobación se realiza demasiado tarde. Para cuando el sistema llega a la etapa de verificación, ya ha contactado con el servidor del atacante.
Basta con abrir la carpeta que contiene el acceso directo malicioso para que el Explorador intente cargar su icono. En ese momento Windows se conecta automáticamente al recurso remoto mediante un protocolo de red y envía datos de autenticación. El usuario no pulsa nada y ni siquiera nota lo que ocurre.
Como resultado, el atacante obtiene el hash de las credenciales en formato Net-NTLMv2. Esos datos se pueden usar en ataques posteriores — por ejemplo, para interceptar sesiones o averiguar la contraseña. Se informó del problema al desarrollador y la vulnerabilidad ya ha sido reconocida oficialmente.