Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > CVE-2026-32202: Cuando una exploración de carpetas se convierte en una filtración de datos

CVE-2026-32202: Cuando una exploración de carpetas se convierte en una filtración de datos

by Bob Ertl updated mayo 13, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

El 27 de abril de 2026, Microsoft actualizó su aviso para CVE-2026-32202 para confirmar lo que los investigadores de Akamai ya habían documentado: la vulnerabilidad estaba siendo explotada activamente en entornos reales. Al día siguiente, CISA añadió el CVE al catálogo de Vulnerabilidades Conocidas Explotadas y ordenó a las agencias federales aplicar el parche antes del 12 de mayo.

Aspectos clave

  1. El robo de credenciales sin interacción es ya una realidad operativa. CVE-2026-32202 permite a un atacante recolectar el hash NTLMv2 de un usuario de Windows simplemente al activar el renderizado de una carpeta. APT28 lo ha estado explotando desde diciembre de 2025.
  2. Microsoft lanzó el parche con la bandera incorrecta. La actualización del 14 de abril solucionó CVE-2026-32202 pero no lo marcó como explotado. Pasaron dos semanas de exposición silenciosa antes de que CISA y Microsoft corrigieran el aviso y forzaran la acción federal.
  3. Comprometer la identidad es comprometer los datos. Los hashes NTLM robados permiten ataques de retransmisión y movimiento lateral hacia recursos compartidos, M365, SharePoint y archivos locales: los sistemas donde realmente reside la información regulada.
  4. Autenticación no es autorización. Trátalo así. Una credencial retransmitida con éxito aún debería enfrentarse a controles ABAC en la capa de contenido, no a un acceso de lectura incondicional. La mayoría de las organizaciones no han construido ese límite.
  5. La gobernanza en la capa de datos es la única respuesta duradera. Cuando el robo de credenciales es sin interacción y los parches llegan dos semanas después de la explotación, la defensa que resiste es la que gobierna los datos en sí, independientemente de quién haya logrado autenticarse.

La mecánica de la falla es inquietantemente simple. Un archivo de acceso directo de Windows (LNK) malicioso llega a la carpeta de descargas de un usuario. El usuario no hace clic. El usuario no ejecuta nada. Simplemente abre la carpeta. El Explorador de Windows muestra el contenido de la carpeta y, en ese proceso, intenta obtener un icono para el acceso directo. El acceso directo contiene una ruta UNC que apunta a un servidor SMB controlado por el atacante. Windows inicia la conexión SMB y se produce automáticamente el apretón de manos de autenticación NTLM. El hash Net-NTLMv2 de la víctima llega al atacante. No hay interacción más allá de abrir la carpeta. Sin aviso. Sin alerta.

Ese hash puede usarse para ataques de retransmisión NTLM contra otros sistemas del entorno o crackearse offline para recuperar la contraseña del usuario. En ambos casos, el atacante ya tiene material de autenticación que le abre puertas a recursos compartidos, buzones de M365, sitios de SharePoint, archivos locales y cualquier otro recurso al que el usuario tenga acceso. El error tiene una puntuación CVSS de 4.3, que subestima su valor operativo en aproximadamente un orden de magnitud.

CVE-2026-32202 no es realmente un error de Windows Shell. Es una vía de robo de credenciales, y las credenciales que entrega son las llaves de tus datos.

El «parche silencioso» que costó dos semanas de exposición

La cronología de la divulgación de CVE-2026-32202 es en sí misma un caso de estudio sobre por qué la velocidad de parcheo ha dejado de funcionar como estrategia defensiva. La falla proviene de una solución incompleta para CVE-2026-21510, una vulnerabilidad más grave de Windows Shell que Microsoft parchó en febrero de 2026 después de que Akamai descubriera que APT28 la estaba usando en ataques contra Ucrania y países de la UE en diciembre de 2025. El parche de febrero bloqueó con éxito la vía de ejecución remota de código. No bloqueó la vía de coerción de autenticación.

Esa brecha residual se convirtió en CVE-2026-32202.

Microsoft la solucionó en la actualización Patch Tuesday del 14 de abril de 2026. Pero el aviso original no marcó el CVE como explotado. Faltaba la bandera de explotación. El vector CVSS estaba mal clasificado. Los equipos de seguridad que seguían flujos de trabajo normales de priorización de parches no tenían ninguna señal formal para tratar CVE-2026-32202 como urgente. Durante trece días, un vector de robo de credenciales sin interacción y activamente explotado permaneció en los pendientes de parches, despriorizado porque los metadatos decían que era un error rutinario de gravedad media.

Microsoft corrigió el aviso el 27 de abril. CISA añadió CVE-2026-32202 al catálogo KEV el 28 de abril con una fecha límite federal de parcheo para el 12 de mayo. Para organizaciones fuera de la rama ejecutiva civil federal, no aplica una fecha límite formal. La curva de parcheo será familiar: los entornos más maduros operativamente cerrarán la brecha en días, la empresa promedio lo hará en semanas y una larga cola de organizaciones la dejará abierta durante meses.

Mientras tanto, APT28 ha estado explotando la capacidad subyacente desde diciembre de 2025. Cuando llegó la inclusión en el KEV de CISA, la ventana de explotación llevaba abierta más de cuatro meses.

Esto no es un fallo único de un CVE. Es la condición estructural en la que ahora operan los atacantes potenciados por IA.

APT28 y el valor estratégico del material de identidad robado

El contexto de atribución de CVE-2026-32202 importa. APT28 —también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm— es la unidad de inteligencia militar rusa afiliada al GRU responsable, entre otras operaciones, de la intrusión al DNC en 2016 y de una cartera sostenida de ataques a gobiernos alineados con la OTAN. CERT-UA ha confirmado que APT28 usó CVE-2026-21510 (la falla principal) en la campaña de diciembre de 2025 contra Ucrania y países de la UE. Microsoft ha declarado que no ha vinculado directamente a APT28 con la explotación de CVE-2026-32202, pero la relación estructural entre ambos CVE y la ventana de explotación de cuatro meses de la capacidad subyacente hablan por sí solas.

El patrón de objetivos de APT28 explica por qué una puntuación CVSS «baja» es engañosa. Los actores estatales no necesitan ruido de ransomware para extraer valor de un entorno Windows. Necesitan acceso estable, persistente y de baja detección a los sistemas de datos de los que depende una organización. Los hashes NTLM robados proporcionan exactamente eso. Permiten movimiento lateral que es indistinguible de una autenticación legítima. Abren caminos hacia recursos compartidos, sistemas de correo, repositorios de documentos, sitios de SharePoint y la infraestructura de identidad local que sostiene entornos híbridos.

El CrowdStrike 2026 Global Threat Report enmarca el patrón general. Las intrusiones orientadas a la nube se centran en abusar de la identidad y la confianza más que en desplegar malware: abuso de cuentas válidas, robo de tokens de sesión y abuso de flujos de SSO y federación. Las plataformas SaaS son objetivos principales porque agrupan datos sensibles de clientes, empleados y operaciones, y suelen estar menos monitorizadas que los endpoints. El phishing adversario-en-el-medio contra Microsoft 365 y Entra ID roba cookies y tokens para saltarse la MFA. Tanto actores criminales como estatales buscan en entornos cloud y SaaS información personal identificable, datos regulados y datos empresariales de alto valor.

CVE-2026-32202 encaja perfectamente en ese panorama operativo. Es una técnica de adquisición de credenciales de bajo ruido y alto rendimiento que escala en cualquier entorno Windows donde NTLM siga activo y los recursos compartidos de carpetas sigan en uso habitual.

La cadena identidad-datos que la mayoría no ha reforzado

El instinto defensivo tras una divulgación de robo de credenciales es correr a los controles de identidad: parchear el sistema operativo, reforzar NTLM, habilitar la firma SMB, segmentar el perímetro de red. Esas acciones son importantes. Pero no bastan.

La razón es estructural. El robo de credenciales es solo el inicio de una cadena de ataque más larga. El daño real ocurre cuando la credencial robada se usa para autenticarse en un sistema que contiene datos regulados: un recurso compartido con información de salud protegida, un sitio de SharePoint con contratos confidenciales, un buzón de Exchange con comunicaciones de fusiones y adquisiciones, un archivo con información no clasificada controlada. En la mayoría de los entornos, una vez que el atacante llega a ese sistema con una credencial válida, el sistema le da todo lo que la cuenta de usuario tenía permitido. No hay una segunda verificación. La capa de datos confía plenamente en la capa de identidad.

Esa es la frontera que los atacantes potenciados por IA están explotando con mayor eficiencia. El Thales 2026 Data Threat Report encontró que el robo y compromiso de credenciales es el principal tipo de ataque contra la infraestructura de gestión cloud, representando el 67% de los ataques a esa superficie. La gestión de identidades y accesos se identifica como la disciplina de seguridad más urgente en el informe, reflejando el enfoque de los atacantes en las credenciales y datos de identidad como objetivos de alto valor. Las organizaciones usan en promedio 2,26 proveedores IaaS y 89 aplicaciones SaaS, lo que incrementa los flujos de datos entre nubes y SaaS y complica la aplicación consistente de políticas.

El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report halló que el 33% de las organizaciones carecen de registros de auditoría de calidad probatoria que cubran sus superficies de intercambio de datos. Incluso cuando se detecta el evento de robo de credenciales, la mayoría no puede reconstruir exactamente a qué datos accedió el atacante, qué se exfiltró y qué obligaciones regulatorias se activaron. La exposición de cumplimiento se suma a la exposición operativa.

CVE-2026-32202 es el recordatorio más reciente de que comprometer la identidad es comprometer los datos, y la frontera entre ambos es donde la defensa se rompe.

La autenticación responde quién. No responde qué se debe permitir hacer.

El principio defensivo que debe reforzarse ante CVE-2026-32202 es más antiguo que NTLM y más simple que cualquier discurso de marketing de confianza cero: la autenticación responde una pregunta, y esa pregunta es «quién envió esta solicitud». No responde si la solicitud es segura de cumplir. No responde si la cuenta solicitante debería tener acceso a ese recurso específico en ese momento y contexto empresarial. No responde si la operación solicitada es una que la cuenta está autorizada a realizar sobre esos datos.

La mayoría de los entornos fusionan esas preguntas en una sola. Un usuario con credenciales válidas es tratado como usuario autorizado. La capa de datos confía en que la capa de identidad ya aplicó la política. Cuando la capa de identidad es la que acaba de ser comprometida, todo el modelo defensivo falla a la vez.

La respuesta arquitectónica es separar autenticación de autorización en la capa de datos. Incluso una credencial NTLM retransmitida con éxito debe enfrentarse a controles ABAC en la capa de contenido que verifiquen: ¿esta cuenta puede leer esta clasificación de datos, en esta jurisdicción, en este momento, para este propósito, con este estado de dispositivo? ¿Esta operación (leer, descargar, mover, eliminar) está permitida según el rol y contexto actual de la cuenta? ¿La actividad es consistente con el patrón normal del usuario, o es anómala y debería activar una verificación adicional?

Los datos del 2026 Forecast Report sobre la brecha entre política y aplicación son la medida operativa de lo rara que es esa frontera en la práctica. Las organizaciones se describen como listas para confianza cero, pero los registros de auditoría, el cifrado y la aplicación de políticas en la capa de datos a menudo no existen. CVE-2026-32202 es el tipo de divulgación que expone esa brecha.

Gobernanza en la capa de datos: la arquitectura que resiste

Cuando el robo de credenciales es sin interacción, cuando los parches llegan meses después de la explotación y cuando el mismo material de identidad que abre una bandeja de entrada también abre el recurso compartido con datos regulados, la defensa debe bajar de la capa de identidad.

Eso es lo que hace la gobernanza en la capa de datos. La aplicación de políticas ABAC en la capa de contenido significa que una sesión autenticada aún está sujeta a verificaciones basadas en atributos antes de que cualquier dato sensible se mueva, incluso si la autenticación se logró con una credencial robada. El cifrado validado FIPS 140-3 garantiza que un archivo exfiltrado no sea una filtración en texto plano. El registro de auditoría inviolable con integración SIEM en tiempo real permite que un patrón de acceso anómalo se detecte en minutos, no después de una reconstrucción forense de meses. El acceso de confianza cero para agentes de IA —que ahora tienen acceso rutinario a los mismos recursos compartidos y almacenes de documentos que buscan los atacantes— significa que un asistente de IA comprometido por inyección de prompts no puede exfiltrar datos que nunca estuvo autorizado a ver.

Este es el patrón arquitectónico que entrega la consolidación del intercambio de datos bajo un solo plano de gobernanza. No reemplaza la higiene de identidad, el refuerzo de NTLM ni la gestión de parches. Todo eso sigue siendo esencial. Es la capa debajo de la identidad que no se derrumba cuando la identidad se ve comprometida.

Cinco acciones antes de la próxima vulnerabilidad de robo de credenciales

CVE-2026-32202 será parchado. La próxima vulnerabilidad de robo de credenciales sin interacción llegará después. La postura arquitectónica que sobrevive a ambas es la misma. Cinco acciones concretas:

Primero, aplica de inmediato la actualización Patch Tuesday del 14 de abril de 2026 si aún no se ha implementado. CVE-2026-32202 se abordó en esa actualización. El parche es la única remediación conocida.

Segundo, refuerza NTLM y la salida SMB. Bloquea el tráfico SMB saliente (TCP 445) en el perímetro de red para evitar que los hashes NTLM lleguen a servidores externos controlados por atacantes. Habilita la firma SMB en todo el entorno para reducir los ataques de retransmisión. Restringe o desactiva NTLM en favor de Kerberos cuando el portafolio de aplicaciones lo permita.

Tercero, audita tu frontera de confianza identidad-datos. ¿Dónde las autenticaciones exitosas otorgan acceso de lectura incondicional a datos sensibles? Esas son las fronteras que requieren aplicación de políticas ABAC, controles de acceso en la capa de contenido y verificación continua en lugar de confianza a nivel de sesión. Los datos del informe Kiteworks 2026 Forecast Report sobre la brecha de registros de auditoría son el punto de partida operativo para esa auditoría.

Cuarto, busca indicadores de APT28 relacionados con la campaña LNK de diciembre de 2025. Akamai ha publicado detalles técnicos sobre la cadena de explotación. Los equipos de seguridad en la UE y entornos cercanos a Ucrania deben buscar archivos LNK maliciosos, conexiones SMB inesperadas a hosts externos y ejecución de archivos CPL fuera del software aprobado.

Quinto, construye la gobernanza en la capa de datos que hará sobrevivible la próxima divulgación. El informe Kiteworks 2026 Forecast Report halló que el 72% de las organizaciones no pueden inventariar sus componentes de software, el 71% carece de monitoreo continuo de dependencias y el 33% no tiene registros de auditoría de calidad probatoria. Cerrar esas brechas es lo que convierte un evento de robo de credenciales de una reconstrucción forense de meses en un incidente contenido, auditable y defendible ante reguladores.

El error es antiguo. La defensa debe ser nueva.

La retransmisión NTLM es un patrón de ataque conocido desde hace más de dos décadas. El renderizado de carpeta como fuga de credenciales es novedoso solo en el vector de entrega. La razón por la que CVE-2026-32202 importa no es porque sea una nueva clase de ataque, sino porque afecta entornos donde la suposición estructural «autenticación equivale a autorización» sigue siendo fundamental.

Esa suposición se rompió en diciembre de 2025, cuando APT28 comenzó a explotar la capacidad subyacente. Se rompió de nuevo en abril de 2026, cuando Microsoft lanzó un parche con metadatos incorrectos. Se romperá otra vez en la próxima divulgación. La arquitectura que sobrevive a esa ruptura es la que gobierna los datos independientemente de quién logró autenticarse.

Explorar una carpeta no debería ser una filtración de datos. Con la arquitectura adecuada bajo la capa de identidad, no lo es.

Preguntas frecuentes

CVE-2026-32202 es una vulnerabilidad de suplantación en Windows Shell que permite a los atacantes recolectar el hash Net-NTLMv2 de un usuario de Windows sin ninguna interacción más allá de explorar una carpeta que contiene un archivo de acceso directo LNK malicioso. Cuando el Explorador de Windows muestra la carpeta, resuelve automáticamente una ruta UNC incrustada en el acceso directo, inicia una conexión SMB al servidor controlado por el atacante y activa el apretón de manos de autenticación NTLM que entrega el hash al atacante. El hash puede usarse en ataques de retransmisión o crackearse offline. APT28 ha estado explotando esta capacidad subyacente desde diciembre de 2025. Según el informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report, el 33% de las organizaciones carecen de registros de auditoría de calidad probatoria, lo que significa que la mayoría no puede reconstruir qué datos fueron alcanzados tras una retransmisión exitosa.

Las puntuaciones CVSS consideran el impacto inmediato en la confidencialidad del error en sí, pero no capturan la cadena de ataque posterior. CVE-2026-32202 entrega un hash Net-NTLMv2 que permite ataques de retransmisión NTLM y crackeo offline, ambos abren caminos para movimiento lateral hacia recursos compartidos, M365, SharePoint y archivos locales donde realmente reside la información regulada. El vector sin interacción, la atribución a APT28 y la ventana de explotación de cuatro meses antes de la confirmación pública son motivos para tratar esto como un parche de prioridad crítica, sin importar la puntuación. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report lo subraya: cuando el 33% de las organizaciones carecen de registros de auditoría de calidad probatoria, un solo evento de robo de credenciales puede producir una ventana de exposición regulatoria de varios meses que la puntuación CVSS nunca reflejó.

CVE-2026-32202 surge de un parche incompleto para CVE-2026-21510, una falla más grave de Windows Shell que APT28 utilizó en ataques contra Ucrania y países de la UE en diciembre de 2025. El parche de Microsoft de febrero de 2026 para CVE-2026-21510 bloqueó con éxito la vía de ejecución remota de código, pero dejó una brecha de coerción de autenticación que se convirtió en CVE-2026-32202. Akamai descubrió la vulnerabilidad residual y la reportó a Microsoft, que lanzó una solución en la actualización Patch Tuesday del 14 de abril de 2026. Microsoft no marcó inicialmente CVE-2026-32202 como explotado; esa corrección llegó el 27 de abril junto con la inclusión en el catálogo KEV de CISA. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report enmarca el patrón general: cuando la velocidad de parcheo va por detrás de la explotación por meses y la precisión de los metadatos por semanas, las organizaciones no pueden depender solo de la defensa basada en parches.

La gobernanza en la capa de datos separa la autenticación de la autorización en la capa de contenido. Incluso si un atacante retransmite con éxito una credencial NTLM robada y se autentica en un sistema objetivo, la aplicación de políticas ABAC sigue evaluando cada solicitud de datos según el rol de la cuenta, la clasificación de los datos, el contexto de la solicitud y la operación específica solicitada. El cifrado validado FIPS 140-3 garantiza que los archivos exfiltrados no sean filtraciones en texto plano. El registro de auditoría inviolable con integración SIEM en tiempo real hace que los patrones de acceso anómalos sean detectables en minutos. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report encontró que el 33% de las organizaciones carecen de registros de auditoría de calidad probatoria, lo que significa que la mayoría de los entornos no pueden probar qué datos se movieron tras un compromiso de credenciales, precisamente la brecha que la gobernanza en la capa de datos busca cerrar.

Aplica la actualización Patch Tuesday del 14 de abril de 2026 si aún no se ha implementado: es la única remediación conocida. Bloquea el tráfico SMB saliente (TCP 445) en el perímetro de red para evitar la exfiltración de hashes NTLM a servidores externos. Habilita la firma SMB en todo el entorno. Restringe o desactiva NTLM donde el portafolio de aplicaciones lo permita. Audita las fronteras de confianza identidad-datos: cualquier lugar donde una autenticación exitosa otorgue acceso de lectura incondicional a datos sensibles es un punto donde debe añadirse la aplicación de políticas ABAC en la capa de contenido. Busca indicadores de APT28 relacionados con la campaña LNK de diciembre de 2025. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report halló que el 71% de las organizaciones carecen de monitoreo continuo de dependencias y el 65% no ha implementado controles de confianza cero en su cadena de suministro; cerrar esas brechas es lo que hace que el próximo evento de robo de credenciales sin interacción sea sobrevivible y no catastrófico.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks