Verticales IT Industrias Usuarios Focus Comunidad

Alerta en Windows

Exploit Wednesday: la furia de un hacker contra Microsoft abre un nuevo frente de riesgo para empresas

Home Ciberseguridad
Dirección copiada

Dos exploits de día cero quedaron expuestos tras el Patch Tuesday y encendieron alertas en compañías que usan Windows.

Publicado el 20 de may de 2026
Franco Della Vecchia

Secretario de Redacción

Hacker con capucha escribiendo frente a monitores con alertas de ciberseguridad, en una escena que ilustra Exploit Wednesday y el riesgo para empresas que usan sistemas Microsoft.
La divulgación activa de exploits puede acelerar los intentos de ataque contra infraestructuras corporativas, especialmente cuando las empresas aún no aplicaron parches o medidas de mitigación.

El calendario de seguridad de Microsoft sumó un nuevo factor de presión para las empresas. Al habitual Patch Tuesday, el martes en el que la compañía publica sus actualizaciones mensuales, se le sumó esta vez una advertencia más inquietante: dos exploits de día cero fueron divulgados públicamente justo después del lanzamiento oficial de parches. En la jerga de ciberseguridad, el día posterior ya tiene nombre propio: Exploit Wednesday. Y esta vez, el término quedó lejos de ser una exageración.

El nuevo frente de riesgo se concentra en YellowKey y GreenPlasma, dos vulnerabilidades que afectan componentes sensibles de Windows. La primera apunta a una posible evasión del cifrado de BitLocker, una herramienta clave para proteger información en equipos corporativos. La segunda se vincula con una elevación de privilegios mediante Windows CTFMON, un proceso asociado a funciones de entrada de texto y servicios del sistema.

Dos día cero que golpean la confianza en Windows

El problema real aparece cuando una falla pública puede afectar equipos con datos internos, credenciales o acceso a redes críticas. En ese escenario, una notebook extraviada, una terminal compartida o una estación de trabajo con controles débiles pueden convertirse en una puerta de entrada.

La velocidad del caso encendió las alarmas. Según el material técnico difundido, las pruebas públicas de explotación de YellowKey y GreenPlasma ya aparecieron asociadas a campañas activas apenas 24 horas después de su publicación. Ese plazo acorta la ventana de reacción de los equipos de seguridad y deja a las compañías ante la necesidad de revisar su exposición antes de que el ataque avance en sistemas vulnerables.

Detrás de la filtración aparecen hackers conocidos como Chaotic Eclipse y Nightmare Eclipse, quienes mantuvieron un conflicto con el Microsoft Security Response Center. Su antecedente más reciente fue BlueHammer, un exploit publicado en abril que afectaba el flujo de actualización de Microsoft Defender y podía convertirlo en un mecanismo para robar credenciales.

Equipo de ciberseguridad en un centro de operaciones monitoreando alertas globales de Exploit Wednesday, vulnerabilidades activas y sistemas empresariales bajo riesgo.
Para los equipos B2B de seguridad, la detección temprana, la priorización de activos críticos y la respuesta coordinada son claves cuando una vulnerabilidad comienza a explotarse en el entorno corporativo.

La divulgación pública coincidió con el Patch Tuesday, un momento que ya requiere coordinación interna. Cada mes, las áreas de tecnología deben probar actualizaciones, ordenar prioridades, proteger servidores y evitar interrupciones en sistemas críticos. Con YellowKey y GreenPlasma, esa rutina ganó tensión porque el riesgo no quedó limitado a vulnerabilidades ya corregidas, sino que incluyó fallas sin parche inmediato al momento del informe

La urgencia empresaria detrás del Patch Tuesday

El caso también muestra un cambio en la velocidad del riesgo. La investigación de vulnerabilidades avanza con más herramientas, más automatización y más capacidad de análisis. Eso reduce el tiempo entre el hallazgo de una falla, la publicación de una prueba técnica y su uso en ataques reales. Para las compañías, la consecuencia es directa: los procesos lentos de revisión y respuesta ya no alcanzan.

Sí, tiene sentido para el sector de ciberseguridad. La idea de controles compensatorios es correcta cuando no hay un parche disponible para YellowKey y GreenPlasma, o cuando una empresa todavía no puede aplicarlo en toda su infraestructura. También son coherentes las medidas mencionadas: restringir el arranque por USB apunta al riesgo físico y a BitLocker; revisar políticas de recuperación de BitLocker va en línea con una posible evasión del cifrado; controlar privilegios locales tiene sentido ante una falla de elevación de privilegios; y auditar accesos físicos ayuda en dispositivos compartidos o de campo.

Lo único que ajustaría es la frase “la protección de equipos expuestos”, porque queda algo general. Conviene reemplazarla por medidas más concretas, como “reforzar la gestión de endpoints”, “bloquear cambios no autorizados en el arranque” o “aislar equipos con mayor exposición física”.

La ausencia de un parche inmediato para YellowKey y GreenPlasma obligó a las empresas a reforzar controles compensatorios. Entre las medidas más relevantes figuran:

  • la restricción del arranque por USB
  • la revisión de las políticas de recuperación de BitLocker
  • el control de privilegios locales
  • el bloqueo de cambios no autorizados en la configuración de arranque
  • la auditoría de accesos físicos a equipos sensibles

Son acciones operativas que no reemplazan una corrección formal, pero pueden reducir la exposición mientras Microsoft prepara una solución definitiva.

Escudo digital agrietado frente a servidores con luces de alerta, representando Exploit Wednesday y una nueva superficie de riesgo para infraestructuras empresariales.
Las fallas explotadas en sistemas ampliamente utilizados pueden abrir nuevos vectores de ataque, afectar servidores internos y aumentar la exposición de datos, identidades y aplicaciones críticas.

El Patch Tuesday de mayo sumó otra señal de alerta. Microsoft corrigió 138 vulnerabilidades, la segunda cifra mensual más alta de su historia según el análisis citado. Además, la compañía acumuló más de 500 CVE corregidas desde enero, un ritmo que la acerca al récord anual de 1245 parches registrado en 2020. Para las empresas, ese número confirma que la gestión de parches ya no puede depender de revisiones aisladas ni de ventanas de mantenimiento demasiado espaciadas.

Office, Word y Netlogon, las otras alertas del paquete de mayo

Aunque YellowKey y GreenPlasma concentraron la atención por su carácter de día cero, el paquete oficial de mayo también incluyó fallas que los equipos de seguridad deberían priorizar.

Otra alerta aparece en Microsoft Office. La vulnerabilidad CVE-2026-42831, descripta como una falla crítica de ejecución remota de código, podría permitir que un atacante use un archivo malicioso para comprometer una estación de trabajo. De esta forma, un documento enviado por correo podría transformarse en el inicio de un incidente si el usuario interactúa con el archivo.

El conflicto entre Chaotic Eclipse y Microsoft puede parecer una pelea reservada al mundo técnico, pero el impacto ya llegó al tablero de riesgo empresario. Cuando una vulnerabilidad pública afecta cifrado, privilegios, autenticación o documentos de oficina, el problema deja de ser un asunto del área de sistemas y pasa a influir en continuidad operativa, protección de datos y reputación. En el último Exploit Wednesday, la prioridad para las compañías es reducir exposición, reforzar controles y acelerar la corrección de las fallas más sensibles.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Franco Della Vecchia
Secretario de Redacción
Licenciado en Periodismo y Comunicación en la Universidad del Salvador. Escribí para el Cronista Comercial, La Nación y desde hace más de 8 años colaboro con Forbes Argentina. Negocios y tecnología, mis especialidades.
Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • Pantalla de un smartphone mostrando la ficha de descarga de Google NotebookLM en Google Play Store, con el ícono de la app de Google LLC y su calificación.

  • análisis en profundidad

    Google NotebookLM: El asistente de IA que revoluciona el análisis de documentos

    21 Nov 2025

    Compartir
  • Agentic AI

  • columna de opinión

    Agentic AI: la nueva aliada en fusiones y adquisiciones

    02 Dic 2025

    Compartir
  • Agentforce 360 impulsa el trabajo con IA en Salesforce, con agentes más precisos, voz nativa y aplicaciones que mejoran ventas, servicio y TI.

  • herramientas

    Cómo funciona Agentforce 360, la propuesta de Salesforce para agentes de IA listos para el trabajo

    19 Dic 2025

    Compartir
  • LN – 2026-03-28T161126.180

  • CIO Profile

    Carlos Vecchio, el cerebro detrás de la transformación digital de Banco Macro

    30 Mar 2026

    Compartir
  • Persona escribiendo en un portátil mientras iconos de servicios digitales y soporte 24/7 se proyectan sobre la pantalla, simbolizando la gestión de recursos de TI en la empresa.

  • gUÍA EN PROFUNDIDAD

    Gestión de recursos de TI: herramientas y mejores prácticas

    26 Nov 2025

    Compartir
  • Cripto no debe ser visto como un juego especulativo: es cívico y económico

  • columna de opinión

    Crypto en Argentina: talento, regulación y mejora de la vida cotidiana

    25 Nov 2025

    Compartir