Microsoft corrige el fallo de día cero RoguePlanet en Windows Defender

Última actualización: julio 11, 2026
Autor: ForoPC
  • Vulnerabilidad RoguePlanet (CVE-2026-50656) permite escalar privilegios a SYSTEM en Windows 10 y 11.
  • Microsoft lanza actualización de emergencia del motor de protección antimalware (versión 1.1.26060.3008).
  • El investigador Nightmare Eclipse publicó el exploit tras un conflicto con Microsoft; el parche puede causar problemas de espacio en disco.
  • Se recomienda verificar la versión del motor y mantener las actualizaciones automáticas activadas.

Windows Defender zero-day vulnerability

Microsoft ha lanzado una actualización de emergencia para corregir la vulnerabilidad de día cero conocida como RoguePlanet (CVE-2026-50656) en el motor de protección antimalware de Windows Defender. Este fallo, que afecta a sistemas Windows 10 y 11 completamente parcheados, permite a un atacante local elevar sus privilegios hasta el nivel SYSTEM, el más alto del sistema operativo. La compañía ha distribuido la corrección a través de la versión 1.1.26060.3008 del Microsoft Malware Protection Engine, que se instala automáticamente en la mayoría de los equipos.

La vulnerabilidad fue revelada por el investigador conocido como Nightmare Eclipse, quien publicó un código de explotación funcional el pasado 10 de junio, después de que Microsoft eliminara sus repositorios de GitHub y GitLab. El investigador afirma que intentó reportar el fallo a través del programa de recompensas de Microsoft, pero la empresa eliminó su cuenta y se negó a colaborar. Este incidente se suma a una serie de seis vulnerabilidades de día cero anteriores divulgadas por el mismo investigador en los últimos meses, algunas de las cuales ya han sido explotadas en ataques reales.

Detalles de la vulnerabilidad RoguePlanet

RoguePlanet vulnerability details

RoguePlanet es un fallo de elevación de privilegios local que explota una condición de carrera (race condition) en el motor de análisis de Defender. El motor, que se ejecuta con privilegios SYSTEM para poder escanear cualquier archivo del sistema, verifica la legitimidad de una ruta de archivo antes de actuar sobre ella. Sin embargo, un atacante puede sustituir el destino mediante un enlace simbólico o junction en el breve intervalo entre la comprobación y la operación, logrando que el motor realice una acción privilegiada sobre un archivo no validado. Esto permite al atacante obtener control total del equipo sin necesidad de credenciales de administrador.

  Anthropic se niega a publicar Mythos pese a su potencial en ciberseguridad

Según análisis de múltiples firmas de seguridad, el exploit funciona tanto con la protección en tiempo real activada como desactivada, ya que el motor sigue ejecutándose para análisis programados. La única excepción es si Windows Defender está completamente desactivado porque otro antivirus (como Malwarebytes) está protegiendo el sistema; en ese caso, el motor no se ejecuta y la vulnerabilidad no es explotable.

La polémica con el investigador Nightmare Eclipse

Nightmare Eclipse researcher controversy

La relación entre Microsoft y Nightmare Eclipse se ha deteriorado hasta el punto de que la compañía amenazó con acciones legales a través de su Digital Crimes Unit, aunque luego dio marcha atrás. Expertos en seguridad como Dustin Childs (Trend Micro) y Katie Moussouris (fundadora del programa de recompensas de Microsoft) criticaron la postura de la empresa, señalando que desincentiva la divulgación responsable. El investigador ha publicado siete exploits en tres meses, incluyendo BlueHammer, RedSun y UnDefend, tres de los cuales fueron utilizados por ciberdelincuentes antes de que Microsoft lanzara parches. La CISA estadounidense incluyó esos fallos en su catálogo de vulnerabilidades explotadas conocidas.

El parche de RoguePlanet cierra la brecha, pero el investigador ha amenazado con nuevas revelaciones el próximo 14 de julio, coincidiendo con el próximo Patch Tuesday. Mientras tanto, los equipos de seguridad deben verificar que la versión del motor sea 1.1.26060.3008 o superior y revisar los registros en busca de procesos inesperados lanzados por MsMpEng.exe.

Efectos secundarios del parche y recomendaciones

El investigador que descubrió RoguePlanet también advirtió que las mitigaciones adicionales incluidas en la actualización pueden provocar que Defender escriba archivos de tamaño ilimitado en el disco, agotando todo el espacio disponible. Esto se debe a un problema en mpengine.dll que filtra 8 bytes de datos al abrir un archivo, combinado con la funcionalidad de SpyNet. Aunque Microsoft no ha confirmado este efecto, se recomienda a los usuarios monitorizar el espacio en disco tras la actualización.

  Modo Xbox en Windows 11: así quiere Microsoft convertir el PC en una consola

Para comprobar si el parche está instalado, los usuarios pueden abrir Seguridad de Windows, ir a «Protección contra virus y amenazas», hacer clic en «Actualizaciones de protección» y luego en «Acerca de». La versión del motor debe ser 1.1.26060.3008 o superior. En entornos empresariales, los administradores pueden usar PowerShell o Intune para verificar el despliegue. Mantener las actualizaciones automáticas activadas es la forma más sencilla de estar protegido.

La vulnerabilidad RoguePlanet representa un riesgo grave para cualquier equipo con Windows Defender activo, pero la actualización de emergencia de Microsoft ya está disponible. Los usuarios en España y Europa deben asegurarse de que su sistema ha recibido la versión 1.1.26060.3008 del motor de protección antimalware. Además, el conflicto con el investigador Nightmare Eclipse pone de manifiesto la necesidad de mejorar los canales de divulgación coordinada para evitar que futuros fallos queden expuestos públicamente antes de tener parche.