- Tres vulnerabilidades zero-day en Microsoft Defender (BlueHammer, RedSun y UnDefend) permiten desde elevar privilegios hasta desactivar el antivirus.
- BlueHammer ya cuenta con parche (CVE-2026-33825), pero RedSun y UnDefend siguen sin corrección oficial y se explotan activamente.
- Los fallos afectan a Windows 10 y Windows 11, con especial impacto en entornos empresariales y administraciones en España y Europa.
- Expertos recomiendan actualizar de inmediato, vigilar nuevos parches y, si es necesario, reforzar la defensa con soluciones de seguridad adicionales.
La detección de tres vulnerabilidades de día cero en Microsoft Defender ha encendido las alarmas en el ecosistema Windows, tanto en usuarios domésticos como en empresas de España y del resto de Europa. Los fallos, bautizados como BlueHammer, RedSun y UnDefend, afectan directamente al antivirus integrado en Windows 10 y Windows 11 y permiten desde la elevación de privilegios hasta la desactivación encubierta de las defensas.
El problema es especialmente delicado porque algunas de estas vulnerabilidades ya se están explotando activamente en ataques reales, mientras que solo una de ellas cuenta por el momento con parche oficial. Pese a que Microsoft presumía recientemente de haber resuelto todos los fallos de seguridad conocidos en Windows 11, este nuevo episodio vuelve a poner en cuestión esa sensación de tranquilidad.
Qué son BlueHammer, RedSun y UnDefend y por qué preocupan tanto
En el centro de la polémica están tres vulnerabilidades zero-day localizadas en Microsoft Defender, el motor antimalware que viene de serie con Windows. Se trata de fallos desconocidos públicamente hasta hace poco y para los que, en el momento de su divulgación, no existían parches disponibles, lo que deja a todos los sistemas potencialmente expuestos.
BlueHammer, RedSun y UnDefend comparten un mismo objetivo: aprovecharse de debilidades internas de Defender para que un atacante pueda incrementar su control sobre el equipo victimizado. Sin embargo, cada una actúa de manera distinta y presenta un impacto propio, lo que complica la respuesta de seguridad, tanto por parte de Microsoft como de administradores y usuarios.
Lo que agrava aún más el escenario es que la empresa de ciberseguridad Huntress Labs ha confirmado que al menos desde el 10 de abril actores maliciosos están utilizando estos fallos en campañas reales, combinando técnicas de intrusión clásicas con la explotación de estas debilidades en el antivirus.
BlueHammer: fallo ya parcheado, pero aún con dudas
La primera vulnerabilidad en llamar la atención fue BlueHammer, cuya explotación se remonta, según Huntress, al viernes 10 de abril. Este fallo se encuentra en el proceso de actualización de Microsoft Defender y permite a un atacante que ya tenga algún tipo de acceso local elevar sus privilegios hasta el nivel de administrador o incluso SYSTEM.
Microsoft ha asignado a BlueHammer el identificador CVE-2026-33825 y ha incluido la corrección en el lote de actualizaciones de seguridad de abril distribuido mediante Windows Update en todo el mundo, incluidos los equipos de España y Europa. Este parche pretende cerrar la brecha que permitía manipular el mecanismo de actualización del antivirus para ganar más control sobre el sistema.
A pesar de la publicación del parche, investigadores vinculados al descubrimiento original han advertido de que ciertos vectores de ataque seguirían siendo viables incluso tras aplicar la actualización de abril. Según sus análisis, determinadas cadenas de explotación podrían continuar funcionando en escenarios concretos, lo que obliga a mantener la vigilancia y a revisar continuamente la eficacia del parche.
Este desfase entre el lanzamiento oficial de la corrección y las dudas de los expertos ilustra un problema recurrente en ciberseguridad: no siempre un parche elimina de raíz todos los caminos de ataque. Por eso, en entornos críticos —como administraciones públicas, pymes y grandes empresas europeas— se insiste en complementar las actualizaciones con otras capas de protección y monitorización.
RedSun: elevación de privilegios con potencial devastador
Si BlueHammer supone un riesgo serio, RedSun se considera todavía más peligrosa por la forma en que permite a un atacante alcanzar el nivel SYSTEM, el máximo rango de privilegios en Windows. Esta vulnerabilidad está ligada al manejo de archivos por parte de Defender y a ciertas operaciones con instantáneas del sistema.
Según la información filtrada, RedSun es capaz de escribir archivos usando la API de almacenamiento en la nube y después apoyarse en las instantáneas de Windows para situar ejecutables dentro de directorios del sistema protegidos. Una vez allí, el atacante puede lograr permisos de SYSTEM y controlar prácticamente cualquier aspecto del equipo.
Este comportamiento es especialmente preocupante en entornos corporativos de España y Europa, donde muchos sistemas Windows sirven como base de redes completas: desde estaciones de trabajo hasta servidores de archivos o equipos que gestionan datos sensibles de clientes. Con acceso SYSTEM, los ciberdelincuentes podrían moverse lateralmente, instalar puertas traseras y robar información confidencial.
Por ahora, Microsoft no ha puesto a disposición del público un parche específico para RedSun, de modo que la vulnerabilidad permanece técnicamente abierta. Esto sitúa a los administradores de sistemas ante un escenario incómodo: hay que minimizar el riesgo mediante medidas compensatorias (refuerzo de políticas, segmentación de red, reglas adicionales en otras soluciones de seguridad), pero sin poder cerrar completamente el agujero.
UnDefend: desactivar Defender sin levantar sospechas
La tercera vulnerabilidad, denominada UnDefend, tiene una naturaleza distinta pero no menos preocupante. En lugar de centrarse únicamente en la elevación de privilegios, se orienta a deshabilitar o anular en la práctica las defensas de Microsoft Defender, bloqueando sus actualizaciones y, en algunos casos, su capacidad de detección.
UnDefend permite que un atacante con ciertos permisos en el sistema impida que Defender descargue e instale nuevas firmas y parches. De este modo, el antivirus se queda desactualizado, abriendo la puerta a que nuevas amenazas o variantes de malware puedan ejecutarse con menos trabas.
Lo más inquietante es que se ha descrito un modo más agresivo de explotación en el que Windows Defender quedaría prácticamente deshabilitado, mientras que la consola EDR (Endpoint Detection and Response) seguiría informando de que el antivirus está activo y en su última versión. Esta especie de “invisibilidad” complica el trabajo de los responsables de seguridad, que pueden creer que todo está en orden cuando, en realidad, la protección es mínima, por lo que es clave saber qué hacer si Windows detecta una amenaza.
El propio investigador que descubrió este método ha señalado que el código completo de explotación no se ha hecho público por considerarlo demasiado peligroso. Aun así, el simple conocimiento de la técnica ya sirve de guía para grupos maliciosos con experiencia, que podrían intentar replicarla o adaptarla a sus campañas.
Cómo salieron a la luz los fallos y el papel de la comunidad
La historia de estas vulnerabilidades no se limita al plano técnico; también hay un componente de tensión entre investigadores y Microsoft. Parte de la información disponible apunta a que el usuario conocido como “Nightmare-Eclipse” (o Chaotic Eclipse en otros canales) decidió publicar detalles de BlueHammer, RedSun y UnDefend en GitHub tras su frustración con los tiempos de respuesta del Microsoft Security Response Center (MSRC).
Según ha trascendido, el investigador habría considerado que la reacción de Microsoft resultaba demasiado lenta para la gravedad de los fallos. Ante ese desacuerdo, optó por divulgar los exploits a la comunidad, una medida controvertida que acelera la concienciación y la presión sobre el proveedor, pero que también facilita el trabajo a los ciberdelincuentes.
Esta filtración deliberada ha generado debate en foros de ciberseguridad europeos y entre profesionales que gestionan infraestructuras críticas, bancos de datos o servicios públicos. Mientras algunos defienden que la divulgación obliga a las grandes tecnológicas a reaccionar con más rapidez, otros alertan de que exponer el código de ataque antes de disponer de parches amplifica el riesgo para millones de usuarios.
En cualquier caso, la consecuencia directa ha sido una reacción acelerada por parte de Microsoft con el parche para BlueHammer y una atención redoblada de la comunidad técnica hacia la evolución de RedSun y UnDefend. La situación pone de relieve lo delicado que es el equilibrio entre transparencia, investigación responsable y protección de los usuarios finales.
Relación con el Patch Tuesday de abril y el resto de parches
Las correcciones vinculadas a estas vulnerabilidades se han integrado en el paquete de parches de abril de Microsoft, también conocido como Patch Tuesday, que este mes ha resultado especialmente voluminoso: se han solucionado hasta 167 fallos de seguridad en diferentes productos, desde el propio sistema operativo hasta Office.
Dentro de ese conjunto, CVE-2026-33825 destaca como el zero-day ligado a Microsoft Defender. Aunque no se había confirmado explotación activa antes del parche, la divulgación pública de los detalles elevó rápidamente el riesgo potencial. En paralelo, se han corregido otras debilidades críticas, incluidas vulnerabilidades de ejecución remota de código y de elevación de privilegios, que sirven como peldaños iniciales o complementarios a ataques más complejos.
En el caso de Windows 11, las correcciones se han distribuido, entre otras, a través de las actualizaciones acumulativas KB5083769 y KB5082052, que incluyen tanto arreglos de seguridad como mejoras de estabilidad. Los usuarios de Windows 10 bajo el programa Extended Security Updates (ESU) han recibido la actualización KB5082200, destinada a mantener un mínimo nivel de protección en equipos que siguen en producción, muy comunes aún en pymes y organismos europeos.
Más allá de Defender, el paquete de abril incorpora también parches para Office, especialmente Word y Excel, que resuelven fallos aprovechables mediante documentos manipulados. Aunque no están directamente relacionados con BlueHammer, RedSun o UnDefend, forman parte del mismo contexto: reducir la superficie de ataque global para que, incluso si se explota una vulnerabilidad en Defender, el atacante tenga más dificultades para consolidar el control del sistema.
Impacto en usuarios y organizaciones de España y Europa
En el plano práctico, estas vulnerabilidades afectan tanto a usuarios domésticos que confían únicamente en Microsoft Defender como a redes corporativas y administraciones europeas que han estandarizado su seguridad sobre el ecosistema Windows. La posibilidad de elevar privilegios y desactivar defensas sin ser detectado supone un riesgo notable en cualquier entorno conectado.
En España, donde Windows 10 y Windows 11 siguen siendo predominantes en oficinas, centros educativos y organismos públicos, la combinación de estos fallos con la explotación activa observada por Huntress incrementa el atractivo del país como objetivo de campañas automatizadas. Equipos que no hayan instalado aún los parches de abril o que mantengan configuraciones poco cuidadas son especialmente vulnerables.
Para las empresas europeas sometidas a marcos regulatorios estrictos —como el RGPD, la NIS2 o normas sectoriales—, un incidente derivado de la explotación de estas vulnerabilidades podría traducirse no solo en pérdidas operativas, sino también en sanciones por fallos de protección de datos. De ahí que muchos departamentos de TI estén acelerando las revisiones de sus políticas de actualización y sus estrategias de defensa en profundidad.
Además, el hecho de que RedSun y UnDefend sigan sin parche oficial obliga a redoblar esfuerzos en otros frentes: endurecer la gestión de cuentas con privilegios, reforzar la monitorización de eventos de seguridad, segmentar la red para limitar movimientos laterales y, en algunos casos, desplegar soluciones adicionales de seguridad que no dependan únicamente de Defender.
Medidas recomendadas mientras se esperan nuevos parches
A falta de correcciones completas para todas las vulnerabilidades, la recomendación general de los expertos es adoptar una combinación de medidas técnicas y de buenas prácticas que reduzcan, en la medida de lo posible, la superficie de ataque y las consecuencias de una posible intrusión.
En primer lugar, es esencial comprobar manualmente en Windows Update que el equipo ha instalado el parche de abril que corrige BlueHammer. Tanto en Windows 10 como en Windows 11, el procedimiento pasa por abrir la app de Configuración, acceder al apartado Windows Update y pulsar en “Buscar actualizaciones” para asegurarse de que no queda ninguna descarga pendiente.
En segundo término, conviene revisar la política de cuentas y privilegios: reducir al mínimo el número de usuarios con permisos de administrador, activar la autenticación multifactor en servicios críticos y limitar el uso de sesiones con privilegios elevados solo a las tareas estrictamente necesarias. Esto no impide la explotación de los fallos, pero dificulta que el atacante dé los primeros pasos.
Muchos especialistas recomiendan también reforzar temporalmente la protección con un antivirus o solución de seguridad adicional, sobre todo en entornos donde el impacto de un incidente sería alto, como despachos profesionales, clínicas, asesorías o infraestructuras críticas, siguiendo guías prácticas como cómo eliminar virus en Windows 11 paso a paso. La idea no es sustituir Defender de forma permanente, sino añadir una capa que complique la vida a los atacantes mientras persisten las vulnerabilidades de día cero.
Por último, resulta clave incrementar la vigilancia sobre eventos sospechosos: accesos fuera de horario, instalaciones inesperadas, cambios en servicios de seguridad, bloqueos inusuales o picos de actividad en el registro de eventos. En organizaciones medianas y grandes, el uso de herramientas EDR y SIEM se vuelve casi imprescindible para detectar patrones anómalos con rapidez.
Todo este episodio en torno a las vulnerabilidades zero-day de Microsoft Defender vuelve a evidenciar hasta qué punto la seguridad en Windows es un objetivo en constante movimiento. Aunque los parches de abril han cerrado parte de las brechas, la existencia de fallos sin corregir como RedSun y UnDefend, la filtración de código de explotación y la explotación activa por grupos maliciosos recuerdan que mantener el sistema actualizado, diversificar las defensas y no dar nada por supuesto sigue siendo la única forma sensata de convivir con un entorno digital cada vez más hostil.
