Un investigador que se hace llamar NightmareEclipse pasa meses peleando en público con Microsoft por un agujero de seguridad en Windows Defender. Microsoft finalmente lo tapa el miércoles 9 de julio. Y ese mismo día, el investigador publica que el parche trae su propio problema: puede llenar el disco rígido entero de la víctima.
Qué es RoguePlanet
La falla original, catalogada como CVE-2026-50656 y bautizada RoguePlanet, vive en el Malware Protection Engine (mpengine.dll), el motor que corre por debajo de Windows Defender en Windows 10 y 11. Explotada, permite a un atacante remoto conseguir acceso administrativo en la máquina — incluso con la protección en tiempo real desactivada. NightmareEclipse la había divulgado públicamente en junio, con código de prueba de concepto incluido, después de un ida y vuelta con Microsoft que arranca en mayo.
El arreglo que trae su propio bug
El parche del 9 de julio se instala solo, sin que el usuario haga nada, y según la nota oficial de Microsoft suma "actualizaciones de defensa en profundidad para mejorar funciones relacionadas con seguridad". El problema, según el mismo investigador que destapó todo esto, es que esas nuevas mitigaciones abren una segunda puerta: el motor puede escribir datos sin límite en una secuencia de datos alternativa (ADS) del tipo Zone.Identifier, la etiqueta que Windows usa para marcar archivos descargados de internet.
Para explotarlo, un atacante necesita levantar un servidor SMB malicioso que sirva un archivo trucho junto con un ADS gigante. Defender se cuelga procesando eso, bloquea archivos y termina consumiendo toda la capacidad del disco. No hace falta que el usuario abra nada raro — alcanza con que el equipo intente acceder a ese recurso compartido.
Qué mirar si tenés una PyME con Windows
Para una PyME argentina que administra sus propias PCs con Windows —sin un equipo de IT dedicado que siga estos hilos de Twitter técnico— la lección práctica es simple: las actualizaciones automáticas de seguridad son necesarias, pero no son magia infalible. Vale la pena tener un proceso mínimo de monitoreo de espacio en disco en los equipos críticos (servidores de archivos, PCs de facturación) y, si depende de un proveedor de IT externo, preguntarle explícitamente si está al tanto de este caso antes de asumir que "como actualiza solo, ya está resuelto". La seguridad informática cada vez exige menos clics del usuario y más criterio de quien administra la infraestructura.
Comentarios (0)
Inicia sesión para participar en la conversación
Cargando la conversación...
¿Necesitas ayuda profesional?
Si tienes consultas específicas sobre tu proyecto o negocio, nuestro equipo está listo para asesorarte.