Hard2bit
← Volver al blog de ciberseguridad

CVE-2026-50656 (RoguePlanet): el fallo del motor de Defender que da SYSTEM en un Windows

Por Adrián González · CEO · Publicado: 14 de julio de 2026 · Actualizado: 14 de julio de 2026
CVE-2026-50656 (RoguePlanet)

Microsoft corrigió a comienzos de julio de 2026 RoguePlanet, una vulnerabilidad en el motor de protección antimalware utilizado por Microsoft Defender que permite a un atacante con acceso local elevar sus privilegios en Windows.

Registrado como CVE-2026-50656, el fallo afecta a uno de los componentes que, precisamente, debe vigilar lo que ocurre en el equipo: Microsoft Malware Protection Engine. La primera versión corregida es la 1.1.26060.3008. Microsoft había publicado inicialmente la vulnerabilidad el 16 de junio y actualizó su aviso tras distribuir la corrección durante los primeros días de julio. (⁠msrc.microsoft.com)

No estamos ante una ejecución remota de código. RoguePlanet necesita que el atacante ya disponga de acceso local con pocos privilegios. El riesgo está en lo que sucede después: ese acceso limitado puede convertirse en privilegios elevados sobre el sistema.

Microsoft calificó la vulnerabilidad como Important, le asignó una puntuación CVSS 3.1 de 7,8 y consideró que su explotación era «More Likely». El fabricante también reconoció que el fallo había sido divulgado públicamente y que existía código funcional, aunque no había observado explotación activa cuando actualizó su aviso. (⁠msrc.microsoft.com)

La existencia de una prueba de concepto pública elevó considerablemente la urgencia. Investigadores independientes comprobaron que la técnica podía abrir una consola con privilegios SYSTEM en Windows 10 y Windows 11. Debido a que el exploit dependía de una condición de carrera, su ejecución no siempre era igual de fiable, pero el impacto potencial estaba demostrado. El investigador afirmó además que la prueba funcionaba con la protección en tiempo real activada. (⁠BleepingComputer)

La conclusión es incómoda, pero importante: las herramientas de seguridad también contienen código complejo, operan con privilegios elevados y forman parte de la superficie de ataque.

Qué es exactamente RoguePlanet

Microsoft Malware Protection Engine es el componente que proporciona capacidades de análisis, detección y limpieza a distintos productos antimalware de Microsoft, entre ellos Microsoft Defender Antivirus.

El motor necesita inspeccionar continuamente archivos, procesos y contenidos procedentes de múltiples ubicaciones. Para poder hacerlo dispone de un nivel de acceso elevado y mantiene una relación de confianza excepcional con el sistema operativo.

RoguePlanet aprovecha precisamente ese contexto privilegiado.

Microsoft clasifica el problema como una resolución incorrecta de enlaces antes de acceder a un archivo, correspondiente a CWE-59. La investigación pública lo relaciona con una condición de carrera: durante una ventana temporal muy pequeña, el atacante consigue alterar el objeto sobre el que actúa el motor y hacer que una operación privilegiada termine afectando a un destino controlado. (⁠msrc.microsoft.com)

Este tipo de fallo suele describirse como una condición time-of-check to time-of-use, o TOCTOU. El programa comprueba primero un recurso y lo utiliza después, pero entre ambas operaciones su estado puede cambiar.

Cuando quien realiza la operación es un proceso con pocos privilegios, el impacto puede ser limitado. Cuando el proceso vulnerable opera como SYSTEM, una manipulación aparentemente pequeña puede convertirse en una elevación total de privilegios.

Por qué una elevación de privilegios en el antivirus es especialmente relevante

Una elevación local de privilegios no suele ser el comienzo de una intrusión. Normalmente es la pieza que conecta el acceso inicial con el control completo del equipo.

El atacante puede entrar mediante phishing, credenciales comprometidas, una aplicación vulnerable, una sesión secuestrada o una ejecución provocada por ingeniería social. En ese primer momento puede quedar limitado por los permisos del usuario afectado.

RoguePlanet proporciona el siguiente escalón.

Al alcanzar privilegios SYSTEM, el atacante puede intentar manipular defensas, establecer persistencia, acceder a material de credenciales, alcanzar otros sistemas o preparar una fase posterior de exfiltración o ransomware.

Por eso las vulnerabilidades locales no deben evaluarse solo por el hecho de requerir acceso previo. Dentro de una cadena de ataque, una elevación de privilegios puede ser exactamente el elemento que transforma un incidente contenido en una intrusión con impacto sobre toda la organización.

Esta lógica de encadenamiento es también una de las diferencias fundamentales entre un simple ⁠escaneo y un programa real de gestión de vulnerabilidades. Un escáner puede identificar el componente vulnerable; el análisis de riesgo debe determinar desde qué posición puede explotarse, qué controles existen y a qué activos permite llegar.

El componente defensivo también es superficie de ataque

Los agentes de seguridad suelen recibir un nivel de confianza que no se concede al resto del software.

Se ejecutan de forma permanente, inspeccionan archivos y procesos, interceptan actividad del sistema y, en muchos casos, disponen de privilegios suficientes para bloquear, aislar o eliminar contenido.

Estas capacidades son necesarias para que cumplan su función. Al mismo tiempo, aumentan las consecuencias de un fallo.

El problema no es exclusivo de Microsoft Defender. Cualquier antivirus, EDR, agente de gestión, herramienta de monitorización o componente de seguridad privilegiado puede contener vulnerabilidades. Cuanto mayor sea su acceso al sistema, mayor puede ser el impacto de una debilidad interna.

RoguePlanet se suma además a una serie de fallos de Windows y de componentes defensivos divulgados durante 2026. No todos afectaban al mismo motor ni compartían la misma causa, por lo que no sería correcto presentarlos como una única familia. Sí reflejan una misma lección: el software defensivo debe inventariarse, actualizarse y supervisarse como cualquier otro activo crítico.

Una organización madura no presupone que una herramienta es segura porque su función sea proteger. Verifica su versión, controla su configuración y analiza el riesgo de que ese mismo agente falle.

Por qué un escaneo externo no detecta este riesgo

RoguePlanet no se explota contra un servicio publicado en Internet. Requiere ejecución local en el equipo.

Por eso no aparecerá en un análisis externo de puertos, dominios o servicios expuestos. Una evaluación de superficie puede ayudar a localizar la vía de entrada inicial, pero no necesariamente la vulnerabilidad utilizada después para elevar privilegios.

También puede pasar desapercibida en programas de vulnerabilidades centrados exclusivamente en servidores o aplicaciones críticas. Muchas organizaciones controlan con detalle las versiones de Windows, los navegadores y el software empresarial, pero no mantienen el mismo nivel de visibilidad sobre el motor, la plataforma y la inteligencia de seguridad de Defender.

El estado del propio antivirus sí genera telemetría y puede inventariarse. El problema habitual no es que Defender sea incapaz de mostrar su versión, sino que esos datos no siempre se integran en el proceso general de gestión de vulnerabilidades.

Esto refuerza la necesidad de mantener un inventario que incluya también agentes EDR, antivirus, herramientas RMM, componentes de backup y plataformas de administración. Todos ellos son software privilegiado y, por tanto, posibles objetivos.

Cómo comprobar si un equipo está protegido

La versión mínima corregida del motor es:

1.1.26060.3008

Microsoft identifica como vulnerable la rama anterior y considera corregidos los sistemas que ejecutan esta versión o una posterior. (⁠msrc.microsoft.com)

El número de compilación de Windows no permite confirmar por sí solo que RoguePlanet esté corregido. Microsoft Defender utiliza canales diferenciados para su plataforma, su motor y la inteligencia de seguridad.

En un equipo individual puede consultarse la información desde Seguridad de Windows, entrando en la configuración de protección contra virus y amenazas y revisando el apartado de versiones.

También puede comprobarse mediante PowerShell:

Get-MpComputerStatus |
Select-Object AMEngineVersion, AMProductVersion, AntivirusSignatureVersion

El campo relevante para esta vulnerabilidad es:

AMEngineVersion

Su valor debe ser igual o superior a:

1.1.26060.3008

En una organización no basta con verificar una muestra de equipos. La comprobación debe extenderse a todo el parque y permitir identificar dispositivos desconectados, sistemas que reciben actualizaciones con retraso, equipos aislados y máquinas cuya telemetría ha dejado de llegar.

Microsoft Defender for Endpoint, Intune, Configuration Manager y las herramientas de inventario corporativo pueden utilizarse para recopilar este dato a escala.

El verdadero punto ciego: confiar en la actualización automática

Microsoft indica que el cliente no necesita instalar manualmente un parche independiente porque la corrección se distribuye a través de las actualizaciones habituales del motor.

Las actualizaciones del motor de Microsoft Defender se incluyen dentro de las actualizaciones de inteligencia de seguridad, distribuidas normalmente mediante KB2267602. Las actualizaciones de plataforma son diferentes y se distribuyen mediante KB4052623. (⁠Microsoft Learn)

Esto corrige una confusión frecuente: no es exacto afirmar que las firmas y el motor pertenecen necesariamente a clasificaciones separadas que siempre deban aprobarse por separado. El motor puede distribuirse junto con la inteligencia de seguridad.

Sin embargo, que la actualización sea automática por diseño no garantiza que haya llegado a todos los equipos.

Los dispositivos aislados, los repositorios internos sin sincronizar, los errores de Windows Server Update Services, las políticas restrictivas, los fallos de Configuration Manager o una configuración incorrecta del orden de actualización pueden dejar parte del parque en una versión antigua.

La comprobación correcta no consiste únicamente en revisar que la fecha de las firmas sea reciente. Debe verificarse expresamente AMEngineVersion.

Una organización puede estar recibiendo inteligencia de seguridad nueva y, aun así, tener dispositivos concretos con fallos de actualización, problemas de salud o largos periodos sin conectarse.

Microsoft recomienda mantener actualizados tanto el motor como la plataforma y verificar que el mecanismo de distribución funciona correctamente. (⁠Microsoft Learn)

Por eso RoguePlanet debe tratarse como un problema de gestión de vulnerabilidades y no como una simple suposición de que «Defender se actualiza solo».

Qué ocurre si Microsoft Defender está desactivado

Los escáneres pueden detectar los binarios vulnerables de Defender incluso en dispositivos donde el producto está deshabilitado.

Microsoft aclara que los archivos pueden permanecer almacenados en el sistema, pero que un equipo con Defender deshabilitado no se encuentra en un estado explotable mediante esta vulnerabilidad. (⁠msrc.microsoft.com)

Esto es importante para evitar falsos positivos.

La presencia de una versión vulnerable en disco no demuestra por sí sola que el componente esté activo ni que la condición pueda explotarse. La evaluación debe comprobar el estado real del producto y no limitarse a comparar versiones de archivos.

En entornos donde Defender opera en modo activo o pasivo, conviene confirmar expresamente cómo se carga el motor, qué versión utiliza y qué producto asume la protección principal.

Detección operativa mientras se completa el despliegue

La prioridad es actualizar el motor. La detección no sustituye a la corrección.

Aun así, durante el periodo de despliegue resulta razonable vigilar comportamientos compatibles con una elevación local de privilegios.

La prueba pública buscaba obtener una consola ejecutada como SYSTEM. Esto no significa que toda explotación vaya a producir exactamente la misma cadena de procesos ni que el resultado tenga que aparecer siempre como hijo directo de MsMpEng.exe.

Una estrategia defensiva más robusta consiste en detectar procesos interactivos, intérpretes de comandos o herramientas administrativas que aparecen de forma inesperada con privilegios SYSTEM después de una ejecución no habitual por parte de un usuario con pocos permisos.

También conviene correlacionar esa actividad con cambios rápidos sobre enlaces, directorios temporales y objetos del sistema de archivos, especialmente cuando coinciden con operaciones del motor antimalware.

La telemetría de versiones debe tratarse como otra señal operativa. Un dispositivo con AMEngineVersion inferior a 1.1.26060.3008 no es solo una entrada antigua de inventario: es un equipo que requiere actualización o investigación.

La correlación con el acceso inicial aporta contexto adicional. Inicios de sesión anómalos, ejecución procedente de archivos descargados, macros, abuso de herramientas legítimas o actividad relacionada con credenciales pueden ayudar a identificar la cadena completa.

Un ⁠SOC gestionado debería poder relacionar la salud del endpoint, las alertas de identidad, la ejecución de procesos y la actividad de red, en lugar de depender únicamente de una alerta específica para una CVE.

La ⁠búsqueda proactiva de amenazas también puede utilizarse para localizar elevaciones anómalas, procesos privilegiados inesperados y comportamientos que no hayan activado una detección determinista.

Tamper Protection ayuda, pero no corrige RoguePlanet

Tamper Protection dificulta que un atacante desactive o modifique determinadas configuraciones de Microsoft Defender.

Es una medida recomendable, especialmente después de que el atacante haya conseguido privilegios elevados, porque puede obstaculizar la desactivación de controles y generar telemetría sobre intentos de manipulación.

No obstante, Tamper Protection no parchea RoguePlanet ni debe presentarse como una mitigación directa.

La vulnerabilidad aprovecha una operación del propio motor. No necesita necesariamente desactivar Defender antes de elevar privilegios.

La única solución fiable es ejecutar una versión corregida del motor.

Las reglas de reducción de superficie de ataque, el control de aplicaciones y el mínimo privilegio siguen siendo útiles porque dificultan que el atacante consiga el acceso local inicial que necesita. Reducen la probabilidad de que la cadena llegue al punto en el que RoguePlanet resulta aprovechable.

Defensa práctica más allá del parche

La primera medida es verificar que todos los equipos ejecutan una versión corregida. A partir de ahí, el caso deja varias recomendaciones de fondo.

El canal de actualizaciones de Defender debe estar monitorizado. No basta con configurar una política y asumir que funciona. Hay que medir el porcentaje de equipos actualizados, identificar errores y mantener un proceso para dispositivos que permanecen desconectados.

El mínimo privilegio también reduce el riesgo. RoguePlanet necesita que el atacante ejecute código localmente. Restringir instalaciones, controlar scripts, limitar intérpretes y aplicar políticas de aplicaciones puede impedir o dificultar ese punto de partida.

La defensa en profundidad no significa instalar dos antivirus y esperar que uno vigile al otro. Significa evitar que toda la prevención, detección y respuesta dependa de un único control.

La segmentación, la protección de identidades, el control de aplicaciones, la telemetría de red, los registros centralizados y la supervisión de comportamiento pueden limitar la intrusión incluso si el agente del endpoint falla.

También conviene integrar los componentes de seguridad en la ⁠gestión de vulnerabilidades basada en riesgo real. Un EDR, un antivirus o una plataforma RMM no deberían quedar fuera del inventario por considerarse herramientas de confianza.

Del acceso inicial al movimiento lateral

RoguePlanet es una vulnerabilidad local, pero su impacto no tiene por qué quedarse en el dispositivo.

Una vez que el atacante alcanza SYSTEM, puede intentar acceder a credenciales almacenadas, tokens, sesiones, claves privadas o material de autenticación utilizado por servicios y usuarios.

Desde ahí puede buscar movimiento lateral hacia servidores, Active Directory, Microsoft 365, plataformas cloud u otros equipos.

La elevación local encaja especialmente bien en ataques que empiezan con una cuenta de usuario comprometida. El acceso inicial puede ser limitado, pero la máquina contiene sesiones, credenciales y relaciones de confianza que permiten avanzar.

Por eso la gestión de identidades es tan relevante como el parche. Un incidente en Microsoft 365, por ejemplo, puede proporcionar acceso a información, sesiones y mecanismos de distribución que después terminan en el endpoint.

Nuestra guía sobre ⁠secuestro de cuentas en Microsoft 365 explica cómo el robo de sesión y credenciales puede convertirse en el primer paso de una intrusión más amplia.

Cuando el objetivo es el directorio corporativo, técnicas de acceso a credenciales y movimiento lateral pueden combinarse con configuraciones débiles de Active Directory. Lo analizamos en nuestro artículo sobre ⁠Kerberoasting, AD CS y rutas de ataque en Active Directory híbrido.

Qué implica para NIS2

NIS2 exige que las entidades dentro de su ámbito adopten medidas técnicas, operativas y organizativas proporcionadas para gestionar el riesgo, incluyendo la gestión y divulgación de vulnerabilidades, la seguridad de la cadena de suministro y procedimientos para evaluar la eficacia de los controles. (⁠EUR-Lex)

La existencia de RoguePlanet no implica automáticamente un incumplimiento.

Lo relevante es si la organización dispone de un proceso capaz de identificar que el motor es vulnerable, priorizar la corrección, desplegarla, verificar su cobertura y conservar evidencia.

El hecho de que se trate del antivirus no lo excluye del proceso. Al contrario: por sus privilegios y su presencia en todo el parque, debe considerarse un componente crítico.

Puedes ampliar este enfoque en nuestra ⁠guía práctica para cumplir NIS2 en España y en el servicio de ⁠adecuación a NIS2.

Qué implica para el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad exige una gestión sistemática de la seguridad basada en riesgos y contempla medidas relacionadas con mantenimiento, actualización, protección de equipos y gestión de vulnerabilidades. (⁠BOE)

La forma concreta de aplicar estas medidas depende de la categoría del sistema, la declaración de aplicabilidad y el análisis de riesgos.

Por tanto, no debe afirmarse que la mera presencia de RoguePlanet supone por sí sola un incumplimiento del ENS.

Sí es razonable esperar que una organización sujeta al esquema pueda demostrar cómo controla las versiones del software de protección, cómo distribuye actualizaciones, cómo gestiona las excepciones y cómo verifica que la corrección ha alcanzado el parque.

En sistemas de categoría alta, donde la exigencia de formalización y evidencia es mayor, esa trazabilidad resulta especialmente importante.

Hard2bit ofrece servicios de ⁠preparación para auditoría ENS y ⁠gestión de vulnerabilidades adaptada al ENS para integrar estas comprobaciones dentro del sistema general de cumplimiento.

Qué implica para DORA

DORA obliga a las entidades financieras incluidas en su ámbito a gestionar el riesgo TIC, mantener capacidades de detección y respuesta y clasificar los incidentes según criterios regulatorios. Solo los incidentes TIC clasificados como graves están sujetos al proceso específico de notificación. (⁠EUR-Lex)

La existencia de una vulnerabilidad o incluso una elevación local no convierte automáticamente el caso en un incidente grave notificable.

La evaluación dependerá del impacto real: funciones críticas afectadas, duración, disponibilidad, pérdida o exposición de datos, alcance geográfico, número de clientes y consecuencias económicas.

RoguePlanet sí es relevante desde la perspectiva de gestión del riesgo TIC. Una explotación que permita desactivar defensas, comprometer credenciales o alcanzar funciones críticas puede contribuir a que un incidente supere los umbrales regulatorios.

La obligación práctica consiste en integrar el riesgo en el inventario, aplicar la corrección, supervisar el despliegue y conservar evidencia de las decisiones adoptadas.

Puedes ampliar esta materia en nuestro servicio de ⁠cumplimiento y resiliencia operativa DORA y en el ⁠caso de una entidad financiera preparada para DORA.

Lo esencial

RoguePlanet no demuestra que Microsoft Defender sea inútil ni que deba desactivarse.

Demuestra algo más general y más importante: ningún componente debe quedar fuera de la gestión de riesgos por el simple hecho de ser una herramienta defensiva.

El motor antimalware tiene privilegios elevados, permanece activo y opera sobre una parte enorme del sistema. Precisamente por eso, una vulnerabilidad en su interior puede convertirse en una vía de escalada especialmente valiosa.

La respuesta correcta no es alarmarse ni confiar ciegamente en que la actualización habrá llegado.

Es comprobar.

Las organizaciones deben verificar que AMEngineVersion sea igual o superior a 1.1.26060.3008, investigar los dispositivos desactualizados y confirmar que el canal de distribución funciona en todo el parque.

También deben incorporar el estado del antivirus, el EDR y los demás agentes privilegiados al inventario de vulnerabilidades.

La seguridad madura empieza cuando las herramientas defensivas dejan de tratarse como garantías silenciosas y empiezan a gestionarse como lo que realmente son: software crítico, poderoso y también susceptible de fallar.

¿Tienes visibilidad real sobre las vulnerabilidades de tus endpoints?

Hard2bit ayuda a las organizaciones a identificar, validar y priorizar vulnerabilidades en puestos de trabajo, servidores, aplicaciones, infraestructura y servicios cloud.

Nuestro enfoque combina inventario, análisis técnico, contexto de explotación y seguimiento de la remediación para evitar que una actualización aparentemente automática deje equipos vulnerables durante semanas.

Solicita una revisión de tu exposición y proceso de gestión de vulnerabilidades.

Preguntas frecuentes

¿Qué es CVE-2026-50656 (RoguePlanet)?

Es una vulnerabilidad de elevación de privilegios en el Motor de Protección Antimalware de Microsoft, el componente central que usa Defender para escanear archivos. Permite a un atacante con acceso local abrir una consola con privilegios SYSTEM en un Windows 10 u 11 completamente actualizado. Microsoft la publicó el 16 de junio de 2026 y la corrigió el 9 de julio de 2026.

¿Estoy expuesto si mi Windows está totalmente al día?

El número de compilación de Windows no cubre este fallo, porque el motor de Defender se actualiza por su propio canal, separado del Windows Update mensual. Puedes tener el sistema operativo al día y seguir con un motor sin parchear. La comprobación correcta es la versión del motor, no la del sistema operativo.

¿Cómo compruebo la versión del motor de Defender?

En un equipo suelto, en Seguridad de Windows, apartado «Acerca de», verás la versión del motor. En consola, el comando Get-MpComputerStatus muestra el campo AMEngineVersion. La versión corregida es la 1.1.26060.3008: si tu motor es igual o superior, estás cubierto frente a RoguePlanet.

¿Basta con esperar a la actualización automática?

En un equipo doméstico, normalmente sí, porque el motor llega por el flujo continuo de actualizaciones. En un entorno gestionado con WSUS o SCCM conviene verificarlo: las actualizaciones del motor tienen una clasificación distinta de las firmas y muchos despliegues auto-aprueban las firmas pero no el motor, dejando equipos rezagados sin que nadie lo note.

¿Es lo mismo que un «EDR killer» o un ataque BYOVD?

No. Un EDR killer desactiva la herramienta de seguridad desde fuera, normalmente cargando un driver vulnerable en el núcleo. RoguePlanet es un fallo dentro del propio motor de Defender que se aprovecha para escalar privilegios. En ambos casos el componente de seguridad acaba implicado, pero el mecanismo y la corrección son distintos.

¿Qué diferencia hay entre esta elevación de privilegios y una ejecución remota?

Una ejecución remota de código permite entrar en la máquina desde la red sin credenciales previas. RoguePlanet no da acceso inicial: requiere que el atacante ya esté dentro con permisos de usuario y le permite subir hasta SYSTEM. Por eso suele ser un eslabón intermedio de un ataque, encadenado con otra técnica de entrada como el phishing o el robo de credenciales.

¿Cómo puedo detectar un intento de explotación?

La señal más clara es un proceso interactivo, como una consola de comandos, lanzado como hijo de MsMpEng.exe y ejecutándose como SYSTEM, algo que no ocurre en operación normal. Complementa esa vigilancia con Tamper Protection activo, con el inventario continuo de la versión del motor y con la correlación frente a accesos locales recientes o credenciales sospechosas.

¿Qué relación tiene esto con NIS2, ENS o DORA?

El motor de seguridad de los equipos es un activo crítico dentro del alcance de estas normas. NIS2 exige a las entidades esenciales e importantes gestionar las vulnerabilidades de forma sistemática; el ENS, en categoría ALTA, exige mantenimiento y actualización controlada de los componentes de protección; y DORA lo enmarca como gestión del riesgo TIC. Verificar la versión del motor en todo el parque y documentarlo es, en la práctica, una evidencia de cumplimiento.