Se confirma la explotación del día cero de Windows CVE-2026-32202

CVE-2026-32202 permite a los atacantes robar hashes NTLMv2 de sistemas Windows sin ninguna interacción del usuario más allá de navegar por una carpeta.

El CISA ha ordenado a las agencias federales que parcheen la CVE-2026-32202, un fallo de Windows Shell de tipo zero-click que quedó abierto por una corrección incompleta de febrero y que ahora se ha confirmado que ha sido explotado.

Darryl Linington (traducido por DeepL / Ninh Duy), Publicado 04/29/2026 🇺🇸

Una vulnerabilidad de Windows Shell parcheada en el Patch Tuesday de este mes ha sido confirmada como activamente explotada en la naturaleza. CISA ha añadido hoy CVE-2026-32202 a su catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales estadounidenses que parcheen antes del 12 de mayo. El fallo existe porque la corrección de Microsoft de febrero de 2026 para una vulnerabilidad relacionada dejó una brecha de autenticación que los atacantes han utilizado desde entonces.

El fallo original, CVE-2026-21510, era un fallo del mecanismo de protección Windows Shell explotado en ataques contra Ucrania y países de la UE en diciembre de 2025. Microsoft parcheó CVE-2026-21510 en febrero y lo marcó como activamente explotado en ese momento. Lo que no señaló fue que el parche dejaba una laguna.

Cómo el parche incompleto dejó una puerta abierta

La empresa de ciberseguridad Akamai analizó el parche de febrero y descubrió que la corrección bloqueaba el componente de ejecución remota de código pero dejaba abierto un vector de coacción de autenticación. Cuando el Explorador de Windows renderiza una carpeta que contiene un archivo de acceso directo LNK malicioso, resuelve automáticamente cualquier ruta UNC incrustada en ese archivo. Si esa ruta apunta a un servidor controlado por el atacante, Windows inicia una conexión SMB y envía el hash NTLMv2 de la víctima al atacante sin necesidad de que la víctima abra o ejecute el archivo.

Basta con navegar por la carpeta donde se descargó el acceso directo para activarlo.

Esa brecha residual se convirtió en CVE-2026-32202. Microsoft lo parcheó en el martes de parches de abril, el 14 de abril, pero lo marcó incorrectamente en ese momento, sin indicador de explotación. El 27 de abril, Microsoft actualizó el aviso para corregir el índice de explotabilidad y confirmar la explotación activa. CISA lo ha añadido hoy al catálogo KEV.

Por qué la puntuación CVSS es engañosa

CVE-2026-32202 lleva una puntuación CVSS de 4,3, situándose en el rango de gravedad media. Esa cifra subestima el riesgo real. El hash NTLMv2 robado de https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-windows-flaw-exploited-in-zero-day-attacks/ puede utilizarse en ataques de retransmisión para autenticarse como el usuario comprometido en otros sistemas de la misma red, o crackearse fuera de línea para recuperar la contraseña en texto plano.

En la práctica, la cadena de ataque proporciona a un adversario una vía para el movimiento lateral y la escalada de privilegios, no sólo una divulgación limitada de información.

La corrección se incluye en la actualización acumulativa KB5083769 de abril de 2026 para las versiones 24H2 y 25H2 de Windows 11. Se trata de la misma actualización que actualmente está causando bucles de arranque en un subconjunto de máquinas HP y Dell. Los usuarios que aún no la hayan aplicado siguen expuestos a un vector confirmado de robo de credenciales sin necesidad de hacer clic. Cualquiera que ya se haya visto afectado por el problema del bucle de arranque KB5083769 debería seguir las directrices de recuperación de Microsoft antes de aplicar la actualización.

Microsoft está, extrañamente forzando la actualización de pCs no gestionados con Windows 11 24H2 a 25H2 antes del fin de soporte del 13 de octubre, pero KB5083769 sigue enviando algunas máquinas a bucles de arranque irrecuperables.