Una nueva amenaza golpea a los usuarios de Microsoft Windows, y esta vez no existe un parche oficial para detenerla. Expertos en ciberseguridad confirmaron que grupos de atacantes están explotando activamente una vulnerabilidad crítica, identificada como CVE-2025-9491, que permite ejecutar código remoto en sistemas Windows.
La alerta llega apenas días después de que Microsoft publicara una actualización de emergencia para otra falla grave, lo que agrava aún más las preocupaciones sobre la seguridad del sistema operativo más utilizado del mundo.
Según un informe de Arctic Wolf Labs, la vulnerabilidad ha sido explotada desde marzo de 2025 por actores vinculados a China en una campaña de ciberespionaje dirigida a entidades diplomáticas de Hungría, Bélgica y otros países europeos. Sin embargo, ahora que los detalles del ataque se han hecho públicos, los especialistas advierten que podría extenderse rápidamente a usuarios y organizaciones de todo el mundo.
Cómo funciona el ataque y por qué es tan peligroso
Los investigadores detallaron que los cibercriminales utilizan correos electrónicos de phishing que contienen enlaces maliciosos. Al hacer clic, las víctimas descargan archivos LNK (accesos directos de Windows) que, al ejecutarse, aprovechan la vulnerabilidad para ejecutar comandos de PowerShell ocultos.
Estos comandos permiten instalar una cadena de malware por etapas que culmina con la instalación del troyano de acceso remoto PlugX, una herramienta utilizada para tomar el control completo del sistema infectado, robar información y desplegar otras cargas maliciosas.
El verdadero peligro radica en que esta vulnerabilidad no necesita interacción adicional del usuario una vez que se ejecuta el archivo comprometido. En cuestión de segundos, el sistema queda comprometido sin que el usuario note actividad sospechosa.
Microsoft confirmó la existencia del problema y aseguró que Windows Defender ya cuenta con detecciones para bloquear parte de esta amenaza, mientras que Smart App Control ofrece una capa adicional de protección al bloquear archivos sospechosos descargados desde Internet.
Un portavoz de la compañía declaró:
“Agradecemos el trabajo de la comunidad de investigación por compartir sus hallazgos. Recomendamos a todos los usuarios seguir las advertencias de seguridad y evitar abrir archivos de fuentes desconocidas.”
Qué deben hacer los usuarios ahora mismo
Aunque Microsoft trabaja en un parche, por ahora no existe una actualización oficial que repare la vulnerabilidad CVE-2025-9491. Por eso, los expertos recomiendan tomar medidas inmediatas para reducir el riesgo:
- No abrir archivos LNK ni accesos directos provenientes de correos electrónicos o descargas no verificadas.
- Bloquear archivos .LNK de fuentes no confiables desde la configuración del Explorador de Windows.
- Mantener Windows Defender actualizado y activar las funciones de Smart App Control o equivalentes.
- Evitar conectar dispositivos USB desconocidos o extraídos de entornos no seguros.
Aunque el ataque actual parece concentrarse en objetivos diplomáticos, los analistas advierten que cualquier usuario o empresa podría convertirse en víctima colateral si la vulnerabilidad comienza a explotarse de forma masiva.
Mientras tanto, Microsoft insiste en que los usuarios deben mantener la precaución máxima hasta que se publique una solución definitiva.