La divulgación de una vulnerabilidad crítica en Windows ha vuelto a encender un conflicto histórico entre Google y Microsoft. El fallo, identificado como CVE-2025-59230, permite a un atacante elevar privilegios hasta el nivel más alto del sistema, obteniendo control total del equipo. Lo realmente delicado del caso no es solo la naturaleza del error, sino el contexto: Microsoft ya había intentado corregirlo meses atrás, pero el parche resultó insuficiente. Ante esa situación, Google decidió hacer públicos los detalles técnicos, una decisión que no ha sido bien recibida en Redmond y que reabre un debate que lleva más de una década dividiendo a la industria.
-Una vulnerabilidad crítica que rompe las defensas de Windows
El problema afecta a RasMan (Remote Access Connection Manager), un servicio central del sistema operativo encargado de gestionar conexiones remotas y redes privadas virtuales. Se trata de un componente sensible, ya que actúa como intermediario entre el sistema y múltiples tecnologías de acceso remoto. La vulnerabilidad permite a un atacante pasar de una cuenta con permisos limitados a privilegios de nivel SYSTEM, el máximo posible en Windows, lo que equivale a un control absoluto del equipo.
Este tipo de escaladas de privilegios son especialmente peligrosas porque pueden combinarse con otros fallos menores o con malware ya presenté en el sistema, transformando un acceso limitado en una intrusión total. En entornos corporativos, el impacto potencial es aún mayor, ya que una sola máquina comprometida puede servir como puerta de entrada a redes completas.
-Un parche incompleto y un descubrimiento aún más preocupante
Microsoft fue notificada del fallo en octubre y lanzó una actualización de seguridad destinada a mitigar el problema. Sin embargo, los investigadores de Project Zero, el equipo de élite de Google especializado en encontrar vulnerabilidades de día cero, comprobaron que la corrección no cerraba todas las vías de explotación.
Durante el análisis del parche, el equipo detectó un segundo fallo que podía encadenarse con el primero, anulando en la práctica la protección aplicada por Microsoft. Más aún, los investigadores encontraron indicios de que la vulnerabilidad ya estaba siendo explotada activamente, lo que elevó la gravedad del caso y aceleró la decisión de hacer pública la información.
RasMan no es un desconocido para los equipos de seguridad: desde 2022 acumula más de veinte vulnerabilidades documentadas, un historial que pone en entredicho la robustez de este componente crítico del sistema operativo.
-La política de los “90 días” y la ira de Redmond
La publicación de los detalles técnicos el 16 de diciembre no fue un gesto improvisado. Google aplica desde hace años una política estricta: si un fallo no se corrige de forma adecuada en un plazo de 90 días desde su notificación, la información se hace pública. El objetivo declarado es presionar a los fabricantes para que solucionen los problemas con rapidez y evitar que las vulnerabilidades se oculten indefinidamente.
Microsoft, sin embargo, mantiene una postura opuesta. La compañía defiende la divulgación coordinada, un enfoque en el que los detalles técnicos se mantienen en privado hasta que existe un parche plenamente funcional. Desde su punto de vista, revelar información incompleta o antes de tiempo solo facilita el trabajo a los atacantes.
Este choque de filosofías no es nuevo. En 2015, Microsoft llegó a calificar estas revelaciones como una estrategia de “gotcha”, una maniobra destinada a dejar en evidencia a la competencia más que a proteger a los usuarios. Desde entonces, la relación entre ambas compañías en materia de seguridad ha estado marcada por la desconfianza.
-Transparencia frente a prudencia: dos visiones irreconciliables
Google sostiene que la transparencia beneficia a los usuarios y a la comunidad de seguridad, ya que obliga a las empresas a actuar con rapidez y permite a los administradores tomar medidas de mitigación mientras llega una solución definitiva. Microsoft replica que esa transparencia puede convertirse en un arma de doble filo cuando los atacantes obtienen información detallada antes de que exista una defensa efectiva.
Incluso actores externos han entrado en el debate. En el pasado, expertos de compañías de ciberseguridad como Kaspersky han señalado que ambas posturas tienen fundamentos válidos: la presión pública acelera las correcciones, pero la divulgación prematura también incrementa el riesgo a corto plazo.
Más allá del enfrentamiento corporativo, el caso CVE-2025-59230 deja al descubierto una cuestión más profunda: la dificultad de Microsoft para blindar ciertos componentes históricos de Windows. Que un servicio tan crítico como RasMan acumule vulnerabilidades año tras año sugiere problemas estructurales que no se resuelven con parches puntuales.