· Jonathan Izquierdo · Noticias seguridad ·
Microsoft parchea 6 zero-days explotados activamente en febrero 2026: análisis forense y medidas urgentes
Microsoft corrige 6 vulnerabilidades zero-day explotadas activamente en el Patch Tuesday de febrero 2026. CVSS hasta 8.8, CISA exige parcheo antes del 3 de marzo.
El 10 de febrero de 2026, Microsoft publicó su Patch Tuesday de febrero con correcciones para 54 vulnerabilidades, incluyendo 6 zero-days que ya estaban siendo explotados activamente por atacantes reales. La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha añadido las 6 vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), estableciendo el 3 de marzo de 2026 como fecha límite para que las agencias federales apliquen los parches.
Tres de los zero-days ya habían sido divulgados públicamente antes de que existiera parche. CrowdStrike confirmó que una de las vulnerabilidades de escalada de privilegios lleva siendo explotada contra entidades en EE.UU. y Canadá desde al menos el 24 de diciembre de 2025. Google Threat Intelligence Group colaboró en el descubrimiento de tres de las seis fallas.
Como perito informático forense, este Patch Tuesday es especialmente relevante: las vulnerabilidades parcheadas son exactamente el tipo de fallos que encuentro explotados en investigaciones periciales. En este artículo analizo cada CVE, sus vectores de ataque, los artefactos forenses que dejan y las medidas de protección urgentes para empresas españolas.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Parche: Microsoft corrige 54 vulnerabilidades, 6 de ellas zero-days explotados activamente
- Más graves: CVE-2026-21510 y CVE-2026-21513 (CVSS 8.8) — bypass de SmartScreen y MSHTML
- Escalada a SYSTEM: CVE-2026-21519 (DWM) y CVE-2026-21533 (RDP) permiten control total del equipo
- CISA KEV: las 6 vulnerabilidades añadidas, parcheo obligatorio antes del 3 de marzo de 2026
- Explotación confirmada: CrowdStrike detectó ataques con CVE-2026-21533 desde diciembre 2025
- Acción urgente: aplicar actualizaciones de Windows Update inmediatamente en todos los sistemas
Las 6 vulnerabilidades zero-day parcheadas
El término “zero-day” indica que los atacantes estaban explotando estas vulnerabilidades antes de que existiera parche disponible. Las 6 fallas cubren tres categorías de ataque: bypass de protecciones de seguridad (3), escalada de privilegios (2) y denegación de servicio (1).
| CVE | Componente | Tipo | CVSS | Severidad | Divulgación pública |
|---|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell | Bypass seguridad | 8.8 | Importante | Si |
| CVE-2026-21513 | MSHTML Framework | Bypass seguridad | 8.8 | Importante | Si |
| CVE-2026-21514 | Microsoft Word | Bypass seguridad | 7.8 | Importante | Si |
| CVE-2026-21519 | Desktop Window Manager | Escalada privilegios | 7.8 | Importante | No |
| CVE-2026-21533 | Remote Desktop Services | Escalada privilegios | 7.8 | Importante | No |
| CVE-2026-21525 | Remote Access Connection Mgr | Denegación servicio | 6.2 | Moderado | No |
Fuente: Microsoft Security Response Center, Tenable, BleepingComputer. Datos compilados el 11 de febrero de 2026.
Distribución completa de las 54 vulnerabilidades
Más allá de los 6 zero-days, el Patch Tuesday de febrero 2026 corrige 54 vulnerabilidades en total distribuidas así:
| Categoría | Cantidad |
|---|---|
| Escalada de privilegios | 25 |
| Ejecución remota de código | 12 |
| Suplantación (spoofing) | 7 |
| Divulgación de información | 6 |
| Bypass de funciones de seguridad | 5 |
| Denegación de servicio | 3 |
| Total | 58 (54 Microsoft + 4 de terceros) |
Análisis detallado de cada zero-day
CVE-2026-21510: bypass de Windows SmartScreen y Shell (CVSS 8.8)
Componente afectado: Windows Shell (todas las versiones soportadas de Windows)
Mecanismo de ataque: el atacante envía un enlace malicioso o archivo de acceso directo (.lnk) a la víctima. Al abrirlo, la vulnerabilidad elude los avisos de seguridad de Windows SmartScreen y las advertencias de Windows Shell, permitiendo la ejecución de contenido controlado por el atacante sin que el usuario vea ningún diálogo de confirmación ni advertencia.
Impacto: el atacante puede ejecutar código arbitrario evitando las protecciones Mark of the Web (MotW), que son precisamente el mecanismo que Windows usa para alertar al usuario cuando un archivo proviene de internet o de una fuente no confiable.
Descubierto por: Microsoft Threat Intelligence Center (MSTIC), MSRC, Office Product Group Security Team, Google Threat Intelligence Group y un investigador anónimo.
Relevancia forense: esta vulnerabilidad es especialmente peligrosa porque elimina la última línea de defensa del usuario — la advertencia visual. En investigaciones forenses, la ausencia de registros de diálogos SmartScreen en un equipo comprometido puede ser un indicador de explotación de esta CVE.
CVE-2026-21513: bypass de MSHTML Framework (CVSS 8.8)
Componente afectado: MSHTML (motor de renderizado de Internet Explorer, integrado en Windows)
Mecanismo de ataque: un fallo de tipo “Protection Mechanism Failure” permite a un atacante no autenticado eludir las protecciones de seguridad a través de la red, mediante archivos HTML maliciosos o archivos de acceso directo (.lnk) que manipulan el manejo del navegador y Windows Shell.
Impacto: el atacante consigue que el sistema omita los avisos de seguridad que normalmente se muestran antes de abrir archivos potencialmente peligrosos. Esto facilita la entrega de payloads de segunda fase sin que la víctima sospeche.
Descubierto por: Google Threat Intelligence Group, MSTIC, MSRC y Office Product Group Security Team.
MSHTML sigue siendo un vector de ataque activo
Aunque Internet Explorer está oficialmente retirado, el motor MSHTML permanece integrado en Windows y es utilizado por múltiples aplicaciones. Esta es la enésima vulnerabilidad grave en MSHTML, lo que demuestra que este componente legacy sigue siendo un objetivo prioritario para los atacantes. Si tu empresa aún tiene aplicaciones que dependen de controles MSHTML/ActiveX, el riesgo es significativamente mayor.
CVE-2026-21514: bypass de protecciones OLE en Microsoft Word (CVSS 7.8)
Componente afectado: Microsoft Word (Microsoft 365 y Office)
Mecanismo de ataque: un archivo de Office especialmente diseñado elude las mitigaciones OLE (Object Linking and Embedding) que protegen a los usuarios de controles COM/OLE vulnerables. La víctima debe abrir el archivo malicioso, pero el panel de vista previa de Office no es vector de ataque (el documento debe abrirse completamente).
Impacto: permite la ejecución de controles OLE maliciosos que normalmente estarían bloqueados por las protecciones de seguridad de Office.
Descubierto por: MSTIC, MSRC, Office Product Group Security Team, Google Threat Intelligence Group y un investigador anónimo.
Nota forense: en investigaciones forenses de compromiso via documentos Office, es fundamental preservar el archivo original .docx/.doc, los logs de Microsoft Office (MRU lists, archivos recientes en registro) y los temporales en %APPDATA%\Local\Microsoft\Office\.
CVE-2026-21519: escalada de privilegios en Desktop Window Manager (CVSS 7.8)
Componente afectado: Desktop Window Manager (DWM), el componente de Windows responsable de la composición visual de ventanas en pantalla.
Mecanismo de ataque: un atacante local autenticado explota una vulnerabilidad de tipo confusión de tipos (type confusion) en DWM para elevar sus privilegios a nivel SYSTEM, el máximo nivel de privilegios en Windows. No requiere interacción del usuario.
Impacto: control total del sistema operativo. Un atacante que consiga acceso inicial con privilegios limitados (por ejemplo, via phishing) puede usar este exploit para obtener control absoluto del equipo.
Descubierto por: MSTIC y MSRC.
Contexto: Microsoft parcheó un zero-day diferente en DWM el mes anterior (enero 2026), lo que sugiere que los atacantes están investigando activamente este componente en busca de vulnerabilidades.
CVE-2026-21533: escalada de privilegios en Remote Desktop Services (CVSS 7.8)
Componente afectado: Windows Remote Desktop Services
Mecanismo de ataque: una gestión inadecuada de privilegios (“Improper Privilege Management”) permite a un atacante autorizado escalar privilegios localmente. El exploit modifica una clave de configuración de servicio, reemplazándola con una clave controlada por el atacante, lo que permite añadir usuarios al grupo Administradores.
Impacto: el atacante pasa de ser un usuario con privilegios limitados a Administrador del sistema, con capacidad de instalar software, modificar configuraciones de seguridad y acceder a todos los datos del equipo.
Descubierto por: CrowdStrike Advanced Research Team.
Explotación confirmada: CrowdStrike Intelligence ha confirmado mediante caza retrospectiva de amenazas que actores maliciosos han utilizado este exploit contra entidades en Estados Unidos y Canadá desde al menos el 24 de diciembre de 2025. CrowdStrike advierte que la divulgación pública “casi con certeza incentivará a actores que posean binarios de exploit para CVE-2026-21533, así como a intermediarios de exploits” a comercializar o weaponizar la vulnerabilidad.
CVE-2026-21533: explotación activa desde diciembre 2025
Esta vulnerabilidad lleva siendo explotada al menos 48 dias antes de la publicación del parche. Si tu organización utiliza Remote Desktop Services (RDP), la probabilidad de que haya sido objetivo de reconocimiento o explotación es real. Una auditoría forense de los registros de eventos de Windows (Security Event Log, especialmente eventos 4720, 4732 y 4728 de creación de usuarios y adición a grupos) es la forma de verificar si ha habido compromiso.
CVE-2026-21525: denegación de servicio en Remote Access Connection Manager (CVSS 6.2)
Componente afectado: Windows Remote Access Connection Manager (RasMan), el servicio responsable de mantener las conexiones VPN.
Mecanismo de ataque: una desreferencia de puntero nulo (null pointer dereference) permite a un atacante no autenticado provocar la caída del servicio localmente, interrumpiendo las conexiones VPN activas.
Impacto: interrupción de conexiones VPN corporativas. Aunque el CVSS es el más bajo de los 6 zero-days, el impacto operativo puede ser significativo en organizaciones que dependen de VPN para teletrabajo o conexiones entre sedes.
Descubierto por: ACROS Security y 0patch. Mitja Kolsek, CEO de ACROS Security, explicó que “encontramos un exploit para este problema en diciembre de 2025 en un repositorio público de malware mientras buscábamos un exploit para CVE-2025-59230. Resultó ser un zero-day en ese momento, así que lo parcheamos y lo reportamos a Microsoft. La calidad del exploit combinado para ambos problemas sugería trabajo profesional”.
Cadena de ataque típica: cómo se combinan estas vulnerabilidades
Los 6 zero-days no deben analizarse de forma aislada. En una cadena de ataque real, un atacante sofisticado puede combinar varias de estas vulnerabilidades en secuencia:
Fase 1 - Acceso inicial (bypass de protecciones):
- El atacante envía un email con un archivo .lnk o enlace malicioso
- CVE-2026-21510 (SmartScreen bypass) o CVE-2026-21513 (MSHTML bypass) eliminan las advertencias de seguridad
- Alternativamente, un documento Word malicioso explota CVE-2026-21514 (OLE bypass)
Fase 2 - Escalada de privilegios: 4. Una vez ejecutado el payload inicial con privilegios de usuario, se explota CVE-2026-21519 (DWM) o CVE-2026-21533 (RDP) para obtener privilegios SYSTEM o Administrador
Fase 3 - Persistencia y movimiento lateral: 5. Con privilegios elevados, el atacante instala backdoors, crea cuentas de administrador y se mueve lateralmente por la red 6. CVE-2026-21525 (RasMan DoS) puede usarse para interrumpir las VPN y dificultar la respuesta del equipo de seguridad
Esta cadena de ataque es exactamente lo que analizo en investigaciones forenses: reconstruir paso a paso cómo el atacante pasó de un email aparentemente inocuo a control total de la infraestructura.
Indicadores forenses: qué buscar en tus sistemas
Si sospechas que tu organización puede haber sido comprometida mediante alguna de estas vulnerabilidades, estos son los artefactos forenses clave que un perito informático debe examinar:
Artefactos de bypass SmartScreen/MSHTML (CVE-2026-21510, 21513, 21514)
| Artefacto | Ubicación | Qué buscar |
|---|---|---|
| Zone.Identifier ADS | Archivos descargados | Ausencia de Zone.Identifier en archivos ejecutados desde internet |
| Prefetch | C:\Windows\Prefetch\ | Ejecución de binarios desconocidos tras abrir enlaces o documentos |
| Amcache | C:\Windows\appcompat\Programs\Amcache.hve | Primeras ejecuciones de binarios sospechosos |
| Logs Office | %APPDATA%\Local\Microsoft\Office\ | Archivos recientes con macros o controles OLE |
| Event Log | Application + Security | Errores de MSHTML, ejecución de procesos hijos anómalos |
| MRU Lists | Registro de Windows (NTUSER.DAT) | Documentos Office abiertos recientemente |
Artefactos de escalada de privilegios (CVE-2026-21519, 21533)
| Artefacto | Ubicación | Qué buscar |
|---|---|---|
| Event ID 4720 | Security.evtx | Creación de nuevas cuentas de usuario |
| Event ID 4732 | Security.evtx | Adición de usuarios al grupo Administradores |
| Event ID 4728 | Security.evtx | Adición a grupos privilegiados |
| Claves de servicio | HKLM\SYSTEM\CurrentControlSet\Services\ | Modificaciones en configuración de servicios RDP |
| DWM crash dumps | C:\Windows\Minidump\ | Volcados de memoria del Desktop Window Manager |
| Sysmon Event ID 1 | Microsoft-Windows-Sysmon | Procesos hijos de dwm.exe o svchost.exe (TermService) |
Artefactos de DoS VPN (CVE-2026-21525)
| Artefacto | Ubicación | Qué buscar |
|---|---|---|
| Event ID 20225 | System.evtx | Errores del servicio RasMan |
| Crash dumps | C:\Windows\Minidump\ | Volcados asociados a rasman.dll |
| Logs VPN | Application.evtx | Desconexiones VPN inesperadas y repetidas |
Cronología de eventos
| Fecha | Evento |
|---|---|
| 24 dic 2025 | CrowdStrike detecta explotación activa de CVE-2026-21533 contra entidades en EE.UU. y Canada |
| Dic 2025 | ACROS Security / 0patch descubre exploit de CVE-2026-21525 en repositorio público de malware |
| Antes del 10 feb | CVE-2026-21510, 21513 y 21514 se divulgan públicamente sin parche disponible |
| 10 feb 2026 | Microsoft publica Patch Tuesday con correcciones para las 54 vulnerabilidades |
| 10-11 feb 2026 | CISA añade los 6 zero-days al catálogo KEV |
| 3 mar 2026 | Fecha límite CISA para que agencias federales apliquen parches |
Medidas de protección urgentes
Implicaciones legales en España
Estas vulnerabilidades tienen consecuencias directas en el marco legal español:
RGPD y notificación de brechas
Si la explotación de cualquiera de estos zero-days resulta en acceso no autorizado a datos personales, la organización afectada tiene obligación de:
- Notificar a la AEPD en 72 horas (artículo 33 RGPD) tras tener constancia de la brecha
- Comunicar a los afectados sin dilación (artículo 34 RGPD) si existe alto riesgo para sus derechos
- Documentar el incidente incluyendo naturaleza de la brecha, datos afectados, consecuencias y medidas adoptadas
Código Penal
- Artículo 197 bis: la interceptación de comunicaciones mediante exploits como estos conlleva penas de prisión de 3 meses a 2 años
- Artículo 264: los daños informáticos derivados de la explotación tienen penas de 6 meses a 3 años. Si afectan a infraestructuras críticas: de 3 a 8 años
Esquema Nacional de Seguridad (ENS)
Las administraciones públicas españolas y sus proveedores están obligados por el ENS a aplicar parches de seguridad críticos en plazos definidos. La no aplicación de estos parches, especialmente estando en el catálogo KEV de CISA, puede constituir un incumplimiento del ENS y derivar en responsabilidades administrativas.
Directiva NIS2
Las entidades esenciales e importantes sujetas a NIS2 deben notificar incidentes significativos en 24 horas y aplicar medidas de gestión de vulnerabilidades. Un zero-day explotado activamente y catalogado por CISA entra de lleno en esta categoría.
El informe pericial como protección legal
Si tu organización sufre un compromiso mediante alguna de estas vulnerabilidades, un informe pericial forense profesional documenta: el vector de entrada exacto, el alcance del compromiso, los datos potencialmente afectados y las medidas de contención aplicadas. Este informe es fundamental tanto para la notificación a la AEPD como para la denuncia penal y la defensa ante posibles reclamaciones.
Contexto: por qué febrero 2026 es preocupante
Este Patch Tuesday iguala el récord del año anterior en número de zero-days explotados activamente en un solo mes. Varios factores hacen que este ciclo sea especialmente preocupante:
Tres vulnerabilidades divulgadas antes del parche: CVE-2026-21510, 21513 y 21514 eran conocidas públicamente antes de que Microsoft tuviera corrección. Esto amplió la ventana de exposición para todos los usuarios de Windows.
Participación de actores avanzados: la implicación de Google Threat Intelligence Group y CrowdStrike Advanced Research Team en el descubrimiento sugiere que estas vulnerabilidades estaban siendo explotadas por actores con recursos significativos, posiblemente grupos APT respaldados por estados.
DWM como objetivo recurrente: Microsoft parcheó un zero-day diferente en Desktop Window Manager en enero 2026, y ahora otro en febrero. Esto indica que los atacantes están invirtiendo recursos en descubrir fallos en este componente de bajo nivel de Windows.
Cadena de ataque completa disponible: con bypass de protecciones + escalada de privilegios + DoS de VPN, los atacantes tienen todos los ingredientes para una cadena de ataque completa desde el acceso inicial hasta la persistencia.
¿Sospechas que tu empresa ha sido comprometida?
Si utilizas Remote Desktop Services, tienes sistemas Windows sin parchear o has detectado actividad sospechosa, una auditoría forense puede determinar si ha habido compromiso. Análisis de logs, verificación de cuentas de usuario, revisión de configuraciones de servicios. Primera consulta gratuita.
Más informaciónPreguntas frecuentes
¿Qué versiones de Windows están afectadas por estos zero-days?
Los 6 zero-days afectan a todas las versiones de Windows actualmente soportadas por Microsoft, incluyendo Windows 10 (versiones 21H2, 22H2), Windows 11 (22H2, 23H2, 24H2) y Windows Server 2016, 2019, 2022 y 2025. No importa si usas la edición Home, Pro o Enterprise: si tu sistema no tiene el parche de febrero 2026 instalado, es vulnerable.
¿Cómo sé si mi sistema ya ha sido parcheado?
En Windows, ve a Configuración > Windows Update > Historial de actualizaciones y busca la actualización acumulativa de febrero 2026 (KB correspondiente a tu versión). Si no aparece, ejecuta Windows Update manualmente. En entornos empresariales, el equipo de IT puede verificar el estado de parcheo mediante WSUS, SCCM/Intune o herramientas de gestión de vulnerabilidades como Tenable, Qualys o Rapid7.
¿Qué hago si no puedo aplicar el parche inmediatamente?
Si necesitas tiempo para probar el parche en un entorno controlado antes del despliegue masivo, aplica estas mitigaciones temporales: deshabilita Remote Desktop Services donde no sea estrictamente necesario, bloquea archivos .lnk en los filtros de correo electrónico, restringe la ejecución de macros y controles ActiveX en Office mediante políticas de grupo, y monitoriza activamente los eventos de seguridad de Windows (4720, 4732, 4728, 7045).
¿Pueden estos zero-days afectar a mi empresa en España?
Si. Estas vulnerabilidades afectan a cualquier sistema Windows independientemente de su ubicación geográfica. Además, CrowdStrike confirmó que CVE-2026-21533 ya ha sido explotada contra entidades reales, y el exploit para CVE-2026-21525 fue encontrado en un repositorio público de malware accesible globalmente. Cualquier organización española que use Windows sin parchear está expuesta.
¿Necesito un perito informático forense si creo que me han atacado?
Si detectas indicios de compromiso — cuentas de usuario nuevas no autorizadas, modificaciones en servicios, conexiones a IPs desconocidas o comportamiento anómalo del sistema — un análisis forense digital profesional es la forma de determinar el alcance real del incidente, preservar la evidencia con cadena de custodia válida y generar un informe pericial utilizable en procedimientos judiciales y notificaciones a la AEPD.
¿Es este Patch Tuesday peor de lo habitual?
Sí, iguala el récord de 2025 en número de zero-days explotados activamente en un solo Patch Tuesday (6). Lo que lo hace especialmente grave es la combinación de vulnerabilidades: bypass de protecciones de usuario + escalada a SYSTEM + DoS de VPN constituyen una cadena de ataque completa. Además, tres de las vulnerabilidades fueron divulgadas públicamente antes de existir parche, lo que amplió significativamente la ventana de exposición.
Fuentes y referencias
BleepingComputer (2026). “Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws”. https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/
Tenable (2026). “Microsoft’s February 2026 Patch Tuesday Addresses 54 CVEs (CVE-2026-21510, CVE-2026-21513)”. https://www.tenable.com/blog/microsofts-february-2026-patch-tuesday-addresses-54-cves-cve-2026-21510-cve-2026-21513
CrowdStrike (2026). “Patch Tuesday February 2026: Updates and Analysis”. https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-february-2026/
Krebs on Security (2026). “Patch Tuesday, February 2026 Edition”. https://krebsonsecurity.com/2026/02/patch-tuesday-february-2026-edition/
Help Net Security (2026). “Microsoft Patch Tuesday: 6 exploited zero-days fixed in February 2026”. https://www.helpnetsecurity.com/2026/02/11/february-2026-patch-tuesday/
SecurityWeek (2026). “6 Actively Exploited Zero-Days Patched by Microsoft With February 2026 Updates”. https://www.securityweek.com/6-actively-exploited-zero-days-patched-by-microsoft-with-february-2026-updates/
The Hacker News (2026). “Microsoft Patches 59 Vulnerabilities Including Six Actively Exploited Zero-Days”. https://thehackernews.com/2026/02/microsoft-patches-59-vulnerabilities.html
Computer Weekly (2026). “February Patch Tuesday: Microsoft drops six zero-days”. https://www.computerweekly.com/news/366638958/February-Patch-Tuesday-Microsoft-drops-six-zero-days
Security Affairs (2026). “Microsoft Patch Tuesday security updates for February 2026 fix six actively exploited zero-days”. https://securityaffairs.com/187848/uncategorized/microsoft-patch-tuesday-security-updates-for-february-2026-fix-six-actively-exploited-zero-days.html
CyberScoop (2026). “Microsoft Patch Tuesday matches last year’s zero-day high with six actively exploited vulnerabilities”. https://cyberscoop.com/microsoft-patch-tuesday-february-2026/
Telconet CSIRT (2026). “Actualización Microsoft Patch Tuesday febrero 2026: 54 vulnerabilidades corregidas, incluidas 6 zero-days”. https://csirt.telconet.net/comunicacion/boletines-servicios/actualizacion-microsoft-patch-tuesday-febrero-2026-54-vulnerabilidades-corregidas-incluidas-6-zero-days/
NIST NVD (2026). “CVE-2026-21510”. https://nvd.nist.gov/vuln/detail/CVE-2026-21510
Preguntas relacionadas
¿Que relacion hay entre los zero-days de Microsoft y los ciberincidentes en Espana?
Espana gestiono 122.223 ciberincidentes en 2025, un 26% mas que en 2024. Muchos de estos incidentes explotan vulnerabilidades en software ampliamente utilizado como Windows. Los zero-days son especialmente peligrosos porque no existe parche en el momento del ataque. Balance INCIBE 2025: 122.223 ciberincidentes en Espana.
¿Como se investiga forense un ataque mediante zero-day?
El analisis forense de un ataque zero-day sigue la metodologia ISO 27037: adquisicion de evidencia (memoria RAM, disco, logs), analisis de artefactos (prefetch, amcache, event logs), reconstruccion de la cadena de ataque y elaboracion de informe pericial. La preservacion de la cadena de custodia es critica para que la evidencia tenga validez judicial. Cadena de custodia digital: guia ISO 27037.
¿Que es un ataque de escalada de privilegios y por que es grave?
La escalada de privilegios permite a un atacante pasar de tener acceso limitado a controlar completamente el sistema. En este Patch Tuesday, CVE-2026-21519 y CVE-2026-21533 permiten escalar a SYSTEM, el nivel mas alto en Windows. Esto significa acceso total a datos, capacidad de instalar backdoors y movimiento lateral por la red. Escalada de privilegios en el glosario forense.
¿Que debe hacer una empresa espanola ante una brecha por vulnerabilidad zero-day?
Notificar a la AEPD en 72 horas si hay datos personales afectados, presentar denuncia ante las FCSE (Policia Nacional o Guardia Civil), preservar toda la evidencia digital sin modificar los sistemas afectados, y contratar un perito informatico forense para documentar el incidente con validez judicial. Contactar con un perito forense.
¿Que diferencia hay entre un zero-day y una vulnerabilidad comun?
Un zero-day es una vulnerabilidad que los atacantes estan explotando activamente antes de que el fabricante publique un parche. Una vulnerabilidad comun (CVE publicada con parche disponible) puede parchearse antes de ser explotada. Los zero-days son mas peligrosos porque no hay defensa directa hasta que se publica la correccion, y los atacantes lo saben. Glosario de ciberseguridad forense.
¿Puede un perito informatico ayudar a reclamar danos por un ciberataque?
Si. Un informe pericial forense documenta tecnicamente el ataque, el dano causado y la responsabilidad. Este informe es una prueba fundamental en procedimientos civiles (reclamacion de danos), penales (denuncia por acceso no autorizado, articulo 197 CP) y administrativos (notificacion AEPD). La primera consulta es gratuita. Solicitar consulta pericial.
