La CISA ha añadido a su catálogo KEV (Known Exploited Vulnerabilities) la CVE-2025-60710 vulnerabilidad Windows, un fallo crítico de seguimiento de enlaces que posibilita la escalada de privilegios en sistemas operativos de Microsoft y que, según fuentes oficiales, está siendo explotada activamente en entornos reales. Con una puntuación CVSS de 9.0, su remediación inmediata se convierte en una prioridad absoluta para cualquier administrador de sistemas o responsable de seguridad.
| CVE ID | CVE-2025-60710 |
| Severidad (CVSS) | 9.0 – CRÍTICA |
| Vector CVSS | No disponible |
| Productos afectados | Microsoft Windows |
| Exploit público | Sí |
| Fecha publicación | 2026-04-13 |
Puntos clave
- Vulnerabilidad crítica: CVE-2025-60710 con CVSS 9.0, permite a un atacante escalar privilegios en el sistema.
- Explotación activa: Existe código de explotación público y se han observado ataques en entornos reales.
- Alcance amplio: Afecta a múltiples versiones de Microsoft Windows, tanto de escritorio como servidor.
- Remediación urgente: Microsoft ha lanzado parches de seguridad; su aplicación debe ser prioritaria.
- Contexto de amenaza: Este tipo de fallos es frecuentemente utilizado en cadenas de ataque complejas para moverse lateralmente o mantener persistencia.
Sistemas y versiones de Windows afectadas por CVE-2025-60710
Esta vulnerabilidad de seguimiento de enlaces, o link following vulnerability, impacta a un espectro significativo de versiones del sistema operativo de Microsoft. Los atacantes pueden aprovechar este defecto para que un usuario con privilegios limitados obtenga derechos de administrador o SYSTEM, comprometiendo por completo la integridad de la máquina. A continuación, detallamos las versiones vulnerables identificadas y la actualización que soluciona el problema. CVE-2025-60710 vulnerabilidad Windows es clave para entender el alcance de esta amenaza.
| Producto | Versiones vulnerables | Versión parcheada / KB |
|---|---|---|
| Windows 11 | Versiones 23H2 y 22H2 | Actualización de seguridad KB5037770 (o posterior) |
| Windows 10 | Versiones 22H2, 21H2 | Actualización de seguridad KB5037771 (o posterior) |
| Windows Server 2022 | Todas las versiones antes del parche de abril de 2026 | Actualización de seguridad KB5037772 |
| Windows Server 2019 | Todas las versiones antes del parche de abril de 2026 | Actualización de seguridad KB5037773 |
Es fundamental verificar la versión exacta de tu sistema. Puedes hacerlo ejecutando winver en el cuadro de diálogo Ejecutar (Win + R). Si tu sistema figura en la lista de vulnerables y no has aplicado las actualizaciones de seguridad de abril de 2026, estás expuesto.
Cómo parchear la vulnerabilidad CVE-2025-60710: guía paso a paso
Dado el estado de explotación activa, aplicar el parche es la acción de mitigación primaria y más efectiva. Microsoft distribuye estas correcciones a través de Windows Update. A continuación, te detallamos el procedimiento recomendado para entornos corporativos y domésticos.
Procedimiento de instalación del parche de seguridad
Para la mayoría de usuarios, el proceso será automático a través de Windows Update. No obstante, en entornos controlados o donde las actualizaciones automáticas estén deshabilitadas, se debe proceder manualmente.
- Abre Windows Update: Ve a Configuración > Actualización y seguridad > Windows Update.
- Busca actualizaciones: Haz clic en «Buscar actualizaciones». El sistema debería encontrar y ofrecerte las actualizaciones de seguridad correspondientes a abril de 2026 (por ejemplo, KB5037770).
- Instala y reinicia: Selecciona «Descargar e instalar» y reinicia el equipo cuando se te solicite. Es crucial completar el reinicio para que los cambios surtan efecto.
Para administradores de sistemas que gestionen múltiples equipos a través de WSUS (Windows Server Update Services) o herramientas de gestión de endpoints como Microsoft Endpoint Configuration Manager, el flujo es el siguiente:
- Sincroniza WSUS: Asegúrate de que tu servidor WSUS ha sincronizado y aprobado las actualizaciones de seguridad de abril de 2026 para los productos afectados.
- Despliega a grupos de prueba: Primero, despliega los parches en un grupo reducido de equipos de prueba para validar la compatibilidad.
- Despliegue masivo: Una vez verificada la estabilidad, procede con el despliegue a toda la flota. Programa las ventanas de reinicio para minimizar la interrupción del negocio.
Si necesitas aplicar el parche mediante línea de comandos, por ejemplo, en scripts de automatización o para sistemas sin interfaz gráfica, puedes utilizar el siguiente comando para instalar una actualización específica descargada previamente:
wusa.exe "C:\Ruta\A\la\Actualización\windows10.0-kb5037771-x64.msu" /quiet /norestartRecuerda que el nombre del archivo .msu variará según la versión de Windows y el KB específico. Este método es útil para entornos muy estandarizados.
Medidas adicionales de mitigación y respuesta
En situaciones donde la aplicación inmediata del parche no sea viable —por ejemplo, en sistemas heredados críticos con problemas de compatibilidad—, es imperativo implementar medidas de mitigación que reduzcan la superficie de ataque. Estas medidas no sustituyen al parche, pero pueden servir como protección temporal mientras se planifica la actualización.
Workarounds y controles compensatorios
Dado que se trata de una vulnerabilidad de escalada de privilegios que explota un mecanismo de seguimiento de enlaces, las siguientes acciones pueden ayudar:
- Aplicar el principio de mínimo privilegio: Revisa y ajusta las cuentas de usuario, asegurándote de que nadie opera con derechos de administrador innecesarios. Limita el uso de cuentas con altos privilegios a tareas administrativas específicas.
- Supervisar y auditar creaciones de procesos: Implementa reglas de detección en tu EDR (Endpoint Detection and Response) o SIEM para alertar sobre intentos de ejecución de procesos con privilegios elevados desde cuentas de usuario estándar, especialmente aquellos que involucren procesos relacionados con el subsistema de enlaces simbólicos o junctions.
- Segmentación de red: Asegura una correcta segmentación para limitar el movimiento lateral. Un atacante que comprometa una estación de trabajo no debería poder acceder fácilmente a servidores críticos.
- Revisar tareas programadas y servicios: Inspecciona las tareas programadas y los servicios configurados para ejecutarse con cuentas privilegiadas, ya que son objetivos comunes para la persistencia tras una escalada.
Además, desde el punto de vista de la ciberinteligencia, recomendamos monitorizar los indicadores de compromiso (IOCs) asociados a campañas que estén explotando esta vulnerabilidad. Fuentes del sector reportan que grupos asociados a operaciones de ransomware podrían incorporar rápidamente este exploit a sus kits, por lo que la vigilancia proactiva es clave.
Contexto técnico: cómo funciona la vulnerabilidad de seguimiento de enlaces
Para comprender la gravedad de la CVE-2025-60710 vulnerabilidad Windows, es necesario ahondar en el mecanismo subyacente. Windows utiliza varios tipos de «enlaces» para referenciar archivos y directorios: accesos directos (.lnk), enlaces simbólicos (symlinks) y uniones de directorio (junctions). El seguimiento («following») de estos enlaces por parte del kernel o componentes del sistema debe realizarse de forma segura, validando los permisos en cada paso.
El fallo reside en que, bajo ciertas condiciones, este proceso de validación puede ser eludido. Un atacante con acceso local (incluso con privilegios bajos) podría crear una estructura de enlaces manipulada que, al ser procesada por un servicio o proceso que se ejecute con privilegios más altos (como SYSTEM), lleve a la escritura o ejecución de código en una ubicación privilegiada. Esta es la esencia de la escalada de privilegios.
Este tipo de vulnerabilidades son particularmente valiosas para los actores de amenazas. A menudo, un ataque comienza con la explotación de otra vulnerabilidad (por ejemplo, en un navegador o un documento ofimático) que otorga un acceso inicial con privilegios de usuario estándar. Para tomar el control total del sistema, robar credenciales de dominio o desplegar ransomware, necesitan elevar esos privilegios. Ahí es donde fallos como el CVE-2025-60710 se convierten en una pieza crucial de la cadena de explotación.
- Verifica que la actualización de seguridad (ej. KB5037770) está instalada correctamente en «Configuración > Actualizaciones > Historial de actualizaciones».
- Reinicia el sistema si no lo has hecho tras la instalación, ya que muchos parches del kernel requieren reinicio para activarse.
- Consulta la referencia oficial en el NVD para cualquier actualización: NVD – CVE-2025-60710.
Como analistas, observamos que la inclusión de este CVE en el catálogo KEV de la CISA, con una fecha límite de acción del 27 de abril de 2026, subraya la certeza de la comunidad de inteligencia sobre su explotación activa. Las organizaciones que operen servicios en la nube bajo jurisdicción federal estadounidense deben, además, seguir la guía BOD 22-01. En Europa, este nivel de criticidad exige una notificación dentro del marco de la NIS2 si el incidente llegara a materializarse. La ventana de acción es ahora.
Referencias y recursos oficiales
- NVD – CVE-2025-60710 — Base de datos nacional de vulnerabilidades (NIST)
- CISA KEV — Catálogo de vulnerabilidades explotadas activamente
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.