CISA alerta de una nueva vulnerabilidad en Windows SMB que ya está siendo utilizada por atacantes
La Cybersecurity and Infrastructure Security Agency (CISA) ha lanzado una alerta urgente sobre una vulnerabilidad crítica en el protocolo SMB de Windows que ya está siendo explotada activamente.
Identificada como CVE-2025-33073, afecta al cliente SMB, el componente encargado de compartir archivos, impresoras y recursos dentro de una red, y podría permitir a un atacante elevar privilegios o moverse lateralmente dentro de una organización.
¿Qué hace tan peligrosa esta vulnerabilidad?
El fallo radica en un control de acceso inadecuado (improper access control) dentro del protocolo Server Message Block (SMB).
Mediante una técnica conocida como forced authentication, un atacante puede engañar a un equipo Windows para que intente autenticarse en un servidor malicioso bajo su control.
Ese intento de conexión expone las credenciales del usuario y, si se combinan con otras vulnerabilidades o configuraciones débiles, puede derivar en acceso total al sistema.
Pero ojo! No es una puerta abierta desde Internet
Aunque la noticia ha generado inquietud, es importante aclararlo. Es decir, este fallo no permite que un atacante externo tome el control de un equipo sin más.
Para explotarlo, el atacante debe encontrarse dentro de la red local o lograr que la víctima se conecte voluntariamente, o mediante ingeniería social a un servidor SMB malicioso.
En otras palabras, no hablamos de un ataque de entrada, sino de una herramienta de expansión dentro de una intrusión ya existente.
Una vez dentro de la red, el atacante puede aprovechar CVE-2025-33073 para robar hashes NTLM, acceder a otros equipos o extender su control de forma sigilosa y progresiva.
Este matiz es clave, ya que la vulnerabilidad multiplica el riesgo una vez que la red ha sido comprometida, pero no es por sí misma el vector inicial de ataque.
¿Cuales son los sectores más expuestos?
Los entornos con múltiples equipos Windows conectados entre sí, como hospitales, bancos, universidades o redes industriales, son especialmente vulnerables.
En este tipo de infraestructuras, donde el intercambio de archivos mediante SMB es continuo, una única estación comprometida puede servir de puente hacia todo el dominio corporativo.
Este año 2025 está siendo particularmente activo en cuanto a ataques que explotan credenciales de dominio y protocolos internos, por lo que la aparición de CVE-2025-33073 encaja en una tendencia creciente de ataques post-explotación.
¿Qué deben hacer las empresas?
La CISA y Microsoft recomiendan actuar de inmediato. Estas son las medidas prioritarias:
- Aplicar los parches de seguridad de Microsoft tan pronto como estén disponibles.
- Si no es posible actualizar de inmediato, restringir o deshabilitar SMBv1 y versiones obsoletas del protocolo.
- Segmentar las redes internas para evitar que un atacante pueda moverse libremente entre equipos.
- Monitorear el tráfico SMB y detectar autenticaciones sospechosas hacia servidores no autorizados.
- Implementar MFA (autenticación multifactor) y políticas de contraseñas robustas para minimizar el impacto en caso de robo de credenciales.
Más allá del parche: la seguridad como cultura corporativa
Esta vulnerabilidad recuerda una vez más que la ciberseguridad no depende solo de los parches, sino de la cultura digital de cada organización.
La mayoría de los ataques exitosos no se deben a exploits imposibles de prever, sino a equipos desactualizados, configuraciones por defecto o falta de segmentación interna.
En un contexto donde los atacantes combinan técnicas avanzadas con ingeniería social, anticiparse es la mejor defensa. No se trata solo de cerrar una vulnerabilidad: se trata de cerrar la oportunidad de que alguien decida entrar.