Microsoft revisó el lunes su aviso sobre una falla de seguridad de alta gravedad ahora parcheada que afecta a Windows Shell para reconocer que ha sido explotada activamente en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-32202 (Puntuación CVSS: 4,3), una vulnerabilidad de suplantación de identidad que podría permitir a un atacante acceder a información confidencial. Se abordó como parte de su actualización del martes de parches para este mes.

«La falla del mecanismo de protección en Windows Shell permite que un atacante no autorizado realice suplantación de identidad en una red», Microsoft anotado en una alerta. «Un atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar».

«Un atacante que aprovechó con éxito la vulnerabilidad podría ver cierta información confidencial (Confidencialidad), pero no todos los recursos dentro del componente afectado pueden ser divulgados al atacante. El atacante no puede realizar cambios en la información divulgada (Integridad) ni limitar el acceso al recurso (Disponibilidad)».

El 27 de abril de 2026, Microsoft dijo que rectificó el «Índice de explotabilidad, el indicador de explotación y el vector CVSS» porque eran incorrectos cuando se publicaron el 14 de abril.

Si bien el gigante tecnológico no compartió ningún detalle sobre la actividad de explotación, el investigador de seguridad de Akamai, Maor Dahan, a quien se le atribuye el descubrimiento y el informe del error, dijo que la vulnerabilidad de clic cero se debe a un parche incompleto para CVE-2026-21510.

Este último ha sido utilizado como arma por un grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm) junto con CVE-2026-21513 como parte de una cadena de exploits.

• CVE-2026-21510 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en Windows Shell que permite a un atacante no autorizado eludir una característica de seguridad en una red. (Solucionado por Microsoft en febrero de 2026)
• CVE-2026-21513 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado eludir una característica de seguridad en una red. (Solucionado por Microsoft en febrero de 2026)

Vale la pena señalar que el abuso de CVE-2026-21513 también fue señalado por la compañía de seguridad e infraestructura web a principios del mes pasado, vinculándolo con APT28 después de descubrir un artefacto malicioso en enero de 2026.

CVE-2026-21510 Explotación

La campaña, dirigida a Ucrania y los países de la UE en diciembre de 2025, aprovecha un archivo malicioso de acceso directo de Windows (LNK) para explotar las dos vulnerabilidades, evitando efectivamente Microsoft Defender SmartScreen y permitiendo la ejecución de código controlado por atacantes.

«APT28 aprovecha el mecanismo de análisis del espacio de nombres del Shell de Windows para cargar una biblioteca de vínculos dinámicos (DLL) desde un servidor remoto utilizando una ruta UNC», Dahan explicado. «La DLL se carga como parte del Panel de control (CPL) objetos sin la validación adecuada de la zona de red.

Akamai dijo que el parche de febrero de 2026, si bien mitigaba el riesgo de ejecución remota de código al activar una verificación SmartScreen de la firma digital y la zona de origen del archivo CPL, aún permitía que la máquina víctima se autenticara en el servidor del atacante y recuperara automáticamente el archivo CPL resolviendo la Convención de nomenclatura universal (UNC) ruta e iniciar una conexión SMB sin requerir interacción del usuario.

«Cuando esa ruta es una ruta UNC (como ‘\\attacker.com\share\payload.cpl’), Windows inicia una conexión SMB con el servidor del atacante», dijo Dahan. «Esta conexión de bloque de mensajes del servidor (SMB) activa un protocolo de enlace de autenticación NTLM automático, enviando el hash Net-NTLMv2 de la víctima al atacante, que luego puede usarse para ataques de retransmisión NTLM y craqueo fuera de línea».

«Aunque Microsoft solucionó el RCE inicial (CVE-2026-21510), persistió una falla de coerción de autenticación (CVE-2026-32202). Esta brecha entre la resolución de ruta y la verificación de confianza dejó un vector de robo de credenciales sin hacer clic a través de archivos LNK analizados automáticamente».

Una función administrativa destinada a agentes de inteligencia artificial (IA) dentro de Microsoft Entra ID podría permitir ataques de escalada de privilegios y adquisición de identidad, según nuevos hallazgos de Silverfort.

Administrador de ID de agente es una función incorporada privilegiada introducida por Microsoft como parte de su plataforma de identidad del agente para manejar todos los aspectos de las operaciones del ciclo de vida de la identidad de un agente de IA en un inquilino. La plataforma permite a los agentes de IA autenticarse de forma segura y acceder a los recursos necesarios, así como descubrir otros agentes.

Sin embargo, la deficiencia descubierta por la plataforma de seguridad de identidad significó que los usuarios asignados al rol de administrador de ID de agente podían asumir el control arbitrario. directores de servicioincluidos aquellos más allá de las identidades relacionadas con los agentes, al convertirse en propietario y luego agregar sus propias credenciales para autenticarse como ese principal.

«Eso es una adquisición principal de servicio completo», investigadora de seguridad Noa Ariel dicho. «En los inquilinos donde existen entidades de servicio con altos privilegios, se convierte en una ruta de escalada de privilegios».

Esta propiedad de una entidad de servicio abre efectivamente la puerta a un atacante para operar dentro del alcance de sus permisos existentes. Si la entidad de servicio objetivo tiene permisos elevados (particularmente roles de directorio privilegiados y permisos de aplicaciones Graph de alto impacto) puede darle al atacante un control más amplio sobre el inquilino.

Tras la divulgación responsable el 1 de marzo de 2026, Microsoft implementó un parche en todos los entornos de nube para remediar la extralimitación del alcance el 9 de abril. Después de la solución, cualquier intento de asignar propiedad sobre entidades principales de servicio que no sean agentes utilizando la función de administrador de ID de agente ahora está bloqueado y genera un mensaje de error «Prohibido».

Silverfort señaló que el problema arquitectónico resalta la necesidad de validar cómo se asignan los roles y se aplican los permisos, especialmente cuando se trata de componentes de identidad compartidos y se construyen nuevos tipos de identidad sobre las bases de las primitivas existentes.

Para mitigar la amenaza que representa este riesgo, se recomienda a las organizaciones que supervisen el uso de roles confidenciales, en particular aquellos relacionados con la propiedad principal del servicio o los cambios de credenciales, realicen un seguimiento de los cambios en la propiedad principal del servicio, aseguren los principales de servicio privilegiados y auditen la creación de credenciales en los principales de servicio.

«Las identidades de los agentes son parte de un cambio más amplio hacia identidades no humanas, construidas para la era de los agentes de IA», señaló Ariel. «Cuando los permisos de roles se aplican sobre bases compartidas sin un alcance estricto, el acceso puede extenderse más allá de lo que se pretendía originalmente. En este caso, esa brecha condujo a un acceso más amplio, especialmente cuando estaban involucrados principios de servicio privilegiados».

«Además, el riesgo general está influenciado por la postura de los inquilinos, particularmente en torno a los principales de servicios privilegiados, donde el abuso de propiedad sigue siendo una ruta de ataque bien conocida e impactante».

Los estados de EE. UU. impusieron 3.450 millones de dólares en multas relacionadas con la privacidad a empresas en 2025, un total mayor que los últimos cinco años combinados, según la firma de investigación y asesoría Gartner.

El aumento se debe en parte a leyes de privacidad más sólidas y establecidas en estados como California, nuevas asociaciones interestatales creadas para hacer cumplir las leyes a través de las fronteras estatales y un enfoque renovado sobre cómo la IA y la automatización afectan la privacidad.

Los datos indican que “los reguladores están desviando sus esfuerzos de la concientización a la aplicación a gran escala”, lo que marca un cambio significativo incluso respecto de los últimos años en la agresividad con la que los estados investigan y penalizan a las empresas por violaciones de las leyes de privacidad.

«Esto se convertirá cada vez más en el estándar en 2026 y durante los próximos dos años», concluye el análisis de Gartner.

El Ley de Privacidad del Consumidor de California Las disposiciones sobre privacidad del consumidor entraron en vigor en 2023, pero durante años su aplicación estuvo en gran medida inactiva. Según Nader Heinen, analista de protección de datos e inteligencia artificial de Gartner y coautor de la investigación, ese retraso en la aplicación refleja la forma en que otras leyes de privacidad importantes, como la europea Reglamento Global de Protección de Datosse han llevado a cabo con el fin de “liderar con un poco de orientación” a las empresas y al mismo tiempo utilizar la aplicación de la ley con moderación.

Pero esa era parece haber terminado. En 2025, la Agencia de Protección de la Privacidad de California ha utilizado la ley para perseguir a los infractores en una amplia gama de industrias, no solo grandes conglomerados, sino también pequeñas y medianas empresas de tecnología, la industria automotriz y productos de consumo, incluidos bienes y prendas de vestir disponibles en el mercado.

Heinen dijo que algunas empresas “no estaban prestando atención” y es posible que se hayan dejado llevar por una falsa sensación de complacencia cuando los reguladores reforzaron sus equipos de aplicación de la ley, lo que llevó a un duro 2025.

«Desafortunadamente, lo que sucede cuando pasa tanto tiempo entre la legislación y el inicio de su aplicación regular es que muchas organizaciones dejan que su programa de privacidad se atrofie», dijo.

Los estados también han tratado de combinar sus recursos para atacar y penalizar a los violadores de la privacidad a través de las fronteras estatales. El año pasado, diez estados se unieron para formar el Consorcio de reguladores de privacidadcomprometiéndose a coordinar las investigaciones y la aplicación de las leyes de privacidad comunes en torno al acceso, la eliminación y la prevención de la venta de información personal.

Más allá de leyes como la CCPA, los estados han estado actualizando las leyes existentes de privacidad y protección de datos para abordar más directamente los daños causados ​​por las tecnologías automatizadas de toma de decisiones, incluida la inteligencia artificial. Los reguladores estatales de privacidad se centran especialmente en cómo se utilizan los datos personales o privados para entrenar sistemas de inteligencia artificial y ayudarlos a hacer inferencias.

Gartner espera que las multas por privacidad aumenten aún más en los próximos años y Heinen dijo que los estados probablemente volverán a liderar el camino en la construcción de la infraestructura legal para hacer cumplir la privacidad de los datos en la era de la IA, a medida que se convierten en el principal conducto de la ansiedad persistente sobre los posibles impactos negativos de la tecnología.

«Hay que ponerse en la posición de estas legislaturas estatales», dijo Heinen. «Sus electores -el público votante- les están diciendo que estamos preocupados por la IA. La ansiedad por la IA es una cosa. Todo el mundo está preocupado por si la IA les quitará el trabajo o afectará su capacidad para encontrar un empleo, por lo que quieren que se implemente legislación para protegerlos».

El mes pasado, los republicanos de la Cámara de Representantes dieron a conocer su último intento de aprobar una legislación federal integral sobre privacidad con un proyecto de ley que prevalecería sobre leyes estatales más estrictas como las de California. En particular, la CCPA otorga a los residentes un derecho de acción privado (el derecho legal a demandar directamente a las empresas) por violación de las leyes de privacidad.

El lunes, Tom Kemp, director ejecutivo de la Agencia de Protección de la Privacidad de California, escribió al presidente de la Cámara de Energía y Comercio, Brett Guthrie, republicano por Kentucky, para oponerse al proyecto de ley, argumentando que proporcionaría “un techo” para la protección de la privacidad de los datos de los estadounidenses en lugar de un “piso” sobre el cual construir.

«La preferencia eliminaría importantes disposiciones estatales de privacidad existentes que protegen a decenas de millones de estadounidenses en la actualidad», escribió Kemp. «Eso sería un importante paso atrás en la protección de la privacidad en un momento en que las personas están cada vez más preocupadas por su privacidad y seguridad en línea, y cuando los desafíos que plantean las nuevas tecnologías con uso intensivo de datos, como la IA, se están desarrollando rápidamente».

Un ciudadano chino presuntamente involucrado en una ola de ataques masivos en la era de la pandemia que comprometió a casi 13.000 organizaciones estadounidenses fue extraditado de Italia a Estados Unidos y acusado formalmente en un tribunal federal, dijo el lunes el Departamento de Justicia.

Xu Zewei y sus cómplices están acusados ​​de explotar una serie de vulnerabilidades de día cero en Microsoft Exchange Server para robar investigaciones sobre vacunas, tratamientos y pruebas de COVID-19 durante la ola inicial y el posterior pico de la pandemia.

Sus presuntos crímenes, dirigidos por los servicios de inteligencia de China, fueron parte de una campaña de espionaje más amplia conocida como HAFNIUM, dirigida a expertos en enfermedades infecciosas, bufetes de abogados, universidades, contratistas de defensa y grupos de expertos en políticas, según un acusación presentó una demanda contra Xu y Zhang Yu, quien sigue en libertad.

El grupo de amenazas patrocinado por el estado de China detrás de esos ataques contra los clientes de Microsoft, y los clientes de muchos otros proveedores desde entonces, ahora es más conocido como Silk Typhoon.

«Xu ahora responderá por su presunto papel en HAFNIUM, un grupo responsable de una vasta campaña de intrusión dirigida por el Ministerio de Seguridad del Estado de China que comprometió a más de 12.700 organizaciones estadounidenses», dijo en un comunicado Brett Leatherman, subdirector de la División Cibernética del FBI.

«Él es uno de los muchos contratistas que el gobierno chino utiliza para ocultar su participación en las operaciones cibernéticas, y otros que hacen lo mismo corren el mismo riesgo», añadió.

Xu supuestamente cometió los ataques mientras trabajaba para Shanghai Powerock Network, una de las muchas empresas que llevaron a cabo ataques para diversos servicios de inteligencia de China, según registros judiciales.

Las autoridades italianas arrestaron a Xu a petición de Estados Unidos en Milán en julio. Su captura subraya una ventana de oportunidad que los funcionarios y aliados de Estados Unidos pueden aprovechar cuando los atacantes de estados-nación viajan a países que cooperan con Estados Unidos.

Italia extraditó a Xu a Estados Unidos el sábado, pero no dio a conocer sus órdenes de extradición hasta el lunes, dijo a CyberScoop Simona Candido, su abogada en Italia.

Las autoridades dijeron que el lunes fue la primera aparición de Xu en el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Texas. Actualmente se encuentra recluido en una prisión federal en Houston.

«Hemos perseguido este momento a lo largo de años y continentes, y el mensaje que esta oficina envía hoy es el mismo que enviamos cuando abrimos por primera vez esta acusación: trabajaremos para proteger al pueblo estadounidense», dijo en un comunicado John GE Marck, fiscal federal interino para el Distrito Sur de Texas.

Xu supuestamente trabajó bajo la dirección de la Oficina de Seguridad Estatal de Shanghai del Ministerio de Seguridad del Estado de China para irrumpir en las redes de organizaciones estadounidenses, robar datos e implantar webshells para un acceso remoto persistente. Los funcionarios también acusan a Xu de robar información sobre los responsables políticos y las agencias gubernamentales estadounidenses de una firma de abogados global con oficinas en Washington.

Microsoft advirtió por primera vez a los clientes sobre la Campaña HAFNIO en marzo de 2021. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad siguieron poco después con un asesoramiento conjunto sobre el compromiso generalizado de Microsoft Exchange Server.

«La acción policial de hoy demuestra las consecuencias en el mundo real de esta actividad dirigida por el Estado, impulsada por una vasta red de empresas privadas que operan bajo la dirección del gobierno chino», dijo a CyberScoop Aaron Shraberg, líder del equipo senior de inteligencia global en Flashpoint.

«Extraditar a estos individuos de países en coordinación con las fuerzas del orden internacionales demuestra una postura unida ante estas acciones y la importancia de traer consecuencias en el mundo real a los notorios ataques de China no sólo contra el pueblo estadounidense y sus empresas, sino también contra personas de todo el mundo», añadió Shraberg.

Xu está acusado de conspiración para cometer fraude electrónico; dos cargos de fraude electrónico; conspiración para causar daño y obtener información mediante acceso no autorizado a computadoras protegidas, cometer fraude electrónico y cometer robo de identidad; dos cargos de obtención de información mediante acceso no autorizado a computadoras protegidas; dos cargos de daño intencional a una computadora protegida; y robo de identidad agravado.

El hombre de 34 años enfrenta hasta 62 años de prisión por sus presuntos delitos.