Esta semana, Microsoft publicó su actualización mensual Patch Tuesday más grande del año:
130 vulnerabilidades corregidas de una sola vez. Y aunque esta vez no hay evidencia de explotación activa (Zero-Days), algunos fallos son tan graves que
merecen atención inmediata.
Uno de los puntos más críticos es CVE-2025-47981, una vulnerabilidad de
ejecución remota de código (RCE) con CVSS 9.8 que afecta al protocolo
SPNEGO Extended Negotiation (NEGOEX). ¿Qué significa esto? Que un atacante podría enviar un mensaje malicioso a través de la red y
ejecutar código sin autenticación, comprometiendo equipos Windows vulnerables. Algunos expertos ya advierten que este fallo podría ser
“wormable”, es decir, capaz de propagarse automáticamente como sucedió con WannaCry en su momento.
Además, Microsoft parchó una vulnerabilidad de divulgación de información en SQL Server
(CVE-2025-49719, CVSS 7.5), que, si bien en teoría podría no parecer grave,
podría filtrar fragmentos de memoria sin inicializar, abriendo la puerta a que un atacante obtenga
claves criptográficas, credenciales o información sensible. Este fallo afecta tanto al motor de SQL Server como a aplicaciones que usan controladores
OLE DB.
53 vulnerabilidades de escalamiento de privilegios
42 fallas de ejecución remota de código (RCE)
17 problemas de divulgación de información
8 fallos de bypass de funciones de seguridad, incluyendo 5 vulnerabilidades en BitLocker que permitirían a un atacante con acceso físico saltarse la protección de datos cifrados.
Además, se corrigieron fallos críticos en Windows KDC Proxy,
Hyper-V y Microsoft Office, todos con CVSS superiores a 8.0. Aunque algunos requieren condiciones específicas para ser explotados, el riesgo es real, especialmente para organizaciones con entornos grandes y usuarios dispersos.
Este mes marca el fin del soporte extendido para SQL Server 2012.
Si tu organización aún lo utiliza, ya no habrá más parches ni actualizaciones de seguridad.
Revisa tu inventario de sistemas y aplica los parches lo antes posible, especialmente en servidores SQL expuestos y estaciones de trabajo Windows.
Verifica políticas de red relacionadas con SPNEGO/PKU2U, que suelen estar activadas por defecto en Windows 10 y versiones superiores.
Evalúa los dispositivos portátiles: si un equipo con BitLocker puede perderse o ser robado, asegúrate de tener configuraciones de arranque seguras y supervisión.
En ciberseguridad, la velocidad de respuesta es clave. Aunque no haya exploits activos hoy, los atacantes ya tienen toda la información técnica para desarrollar herramientas automatizadas. No dejes para mañana lo que puedes parchear hoy.
This week, Microsoft rolled out its biggest Patch Tuesday so far in 2025 — fixing
a massive batch of 130 vulnerabilities in one go. And while this month breaks the
11-month streak of patching an actively exploited zero-day,
several of these flaws are still severe enough to demand immediate action.
One of the most worrying is CVE-2025-47981, a
remote code execution (RCE) vulnerability with a
CVSS score of 9.8. It affects the
SPNEGO Extended Negotiation (NEGOEX) protocol. In plain English: an attacker could send a
malicious message over the network and execute code without authentication on vulnerable
Windows machines. Security researchers warn this bug could be wormable, meaning it might be
used to create self-propagating malware — a chilling reminder of the
WannaCry days.
Another big concern is an information disclosure bug in SQL Server
(CVE-2025-49719, CVSS 7.5). On paper, it “just” leaks uninitialized memory, but in practice,
a determined attacker could recover sensitive data, cryptographic keys, or credentials —
affecting both the SQL Server engine and apps using OLE DB drivers.
53 privilege escalation flaws
42 remote code execution bugs
17 information disclosure issues
8 security feature bypasses, including 5 separate BitLocker flaws that could let an attacker with physical access bypass disk encryption and extract sensitive data.
Microsoft also patched serious flaws in Windows KDC Proxy,
Hyper-V, and Microsoft Office, all with CVSS scores over 8.0. Some of these are complex to exploit, but for skilled threat actors — especially APTs — they’re attractive targets.
SQL Server 2012 is officially end-of-life this month.
No more patches, no more fixes. If you’re still running it, now’s the time to plan your migration.
Take stock of your assets and apply these patches ASAP, especially for exposed SQL servers and Windows endpoints.
Double-check Group Policy settings related to SPNEGO/PKU2U, which is enabled by default on Windows 10 and newer.
Review physical security — lost or stolen laptops with BitLocker could be a problem if not properly configured and monitored.
In cybersecurity, speed is survival. Even if there’s no active exploitation yet, the technical details are now public.
Attackers are watching, tools get built fast — so don’t wait until it’s too late.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
