El parche de abril de Microsoft dejó un hueco zero-click para robo de credenciales en Windows

Microsoft corrigió CVE-2026-32202 en sus actualizaciones de abril de 2026, pero el alcance del problema es mayor de lo que parecía. Según el informe de SecurityWeek sobre la investigación de Akamai, una reparación anterior incompleta dejó abierta una vía de robo de credenciales zero-click.

El punto crítico es que Windows Explorer puede contactar con un servidor remoto para cargar el icono de un archivo LNK malicioso. Ese simple contacto ya puede disparar una autenticación NTLM automática y filtrar un hash Net-NTLMv2 sin que la víctima haga clic en nada.

Akamai además vincula la cadena de explotación con APT28, grupo ruso conocido por campañas contra Ucrania y objetivos europeos. Eso eleva la historia por encima de un fallo técnico menor.

La prioridad para los defensores es desplegar el parche de abril y revisar la exposición a NTLM, SMB y flujos de archivos shortcut no confiables.