AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Errores falsos en el Firewall de Windows tras la actualización de junio: Microsoft confirma que no hay riesgo real

admin

Introducción

Esta semana, Microsoft ha alertado a sus clientes sobre la aparición de mensajes de error incorrectos relacionados con el Firewall de Windows tras la instalación de la actualización preliminar de junio de 2025 para Windows 10 y Windows 11. Estos avisos, que surgen después de reiniciar el sistema, han generado inquietud en departamentos de TI y equipos de ciberseguridad al sugerir, de forma errónea, la desactivación o mal funcionamiento de componentes críticos de seguridad. En este artículo, analizamos en profundidad el alcance técnico de este incidente, los riesgos reales, las recomendaciones de mitigación y el impacto para las organizaciones.

Contexto del Incidente

El problema se desencadenó tras la distribución de la actualización acumulativa preliminar (Preview) de junio de 2025, identificada como KB5039302 para Windows 10 22H2 y KB5039304 para Windows 11 23H2. Tras aplicar el parche y reiniciar, múltiples usuarios reportaron advertencias del Centro de Seguridad de Windows Defender indicando que el Firewall estaba desactivado o presentaba errores de configuración, a pesar de que la funcionalidad real del cortafuegos permanecía intacta.

Estos mensajes han provocado confusión entre administradores de sistemas y analistas SOC, que han interpretado los avisos como indicios de una posible desactivación del firewall —un objetivo habitual en ataques de escalada de privilegios o despliegue de ransomware—, lo que ha incrementado la carga de trabajo de los equipos de respuesta ante incidentes.

Detalles Técnicos

Hasta la fecha, Microsoft no ha asignado un CVE específico a este incidente, ya que no se trata de una vulnerabilidad de seguridad propiamente dicha, sino de un fallo de notificación. El bug afecta a los módulos de integración entre el Servicio de Seguridad de Windows (SecurityHealthService.exe) y la interfaz gráfica del Centro de Seguridad de Windows Defender.

– Sistemas afectados:
– Windows 10 22H2 con actualización KB5039302
– Windows 11 23H2 con actualización KB5039304
– Manifestación:
– Al reiniciar el dispositivo tras aplicar la actualización, el usuario visualiza notificaciones indicando que el Firewall está desactivado o que hay errores en su configuración.
– El servicio `mpssvc` (Windows Firewall) permanece activo y las reglas configuradas siguen aplicándose correctamente.
– No se han detectado exploits públicos ni actividad asociada a frameworks como Metasploit, Cobalt Strike o similar que aprovechen este error para evadir controles o desplegar malware.
– Tácticas y técnicas MITRE ATT&CK relacionadas (hipotéticas, si el fallo fuera real):
– T1562.004 (Defensive Evasion: Disable or Modify System Firewall)
– Indicadores de compromiso (IoC):
– No se han identificado IoCs asociados, ya que el incidente no implica manipulación maliciosa.

Impacto y Riesgos

El principal riesgo radica en la confusión operativa y en la posible relajación de controles de seguridad ante una percepción errónea de inactividad del firewall. Las consecuencias potenciales incluyen:

– Falsos positivos en sistemas de monitorización y correlación de eventos (SIEM).
– Incremento en tickets de soporte y escalado innecesario a equipos de respuesta ante incidentes.
– Posible desactivación manual del firewall por parte de usuarios al intentar solucionar un error inexistente.
– Dificultad para auditar el estado real de la protección perimetral de endpoints en auditorías de cumplimiento (p. ej., GDPR, NIS2).

Microsoft ha confirmado que, pese a los avisos, los paquetes de filtrado de red y las reglas de firewall siguen aplicándose y la superficie de ataque no varía respecto al estado previo a la actualización.

Medidas de Mitigación y Recomendaciones

Hasta la publicación de un hotfix definitivo por parte de Microsoft, se recomienda a los equipos técnicos:

1. Verificar manualmente el estado del servicio `mpssvc` (Firewall de Windows) mediante PowerShell:
«`powershell
Get-Service -Name mpssvc
«`
2. Comprobar la correcta aplicación de reglas de firewall con:
«`powershell
Get-NetFirewallProfile
«`
3. Documentar la incidencia en las bases de conocimiento internas para evitar respuestas erróneas.
4. Descartar la necesidad de restaurar sistemas o desinstalar la actualización, salvo que existan otros conflictos críticos.
5. Monitorizar los canales oficiales de Microsoft para la publicación del parche correctivo.
6. Revisar los flujos de alertas en SIEM y ajustar reglas de correlación temporalmente para evitar alertas innecesarias.

Opinión de Expertos

Varios analistas de ciberseguridad señalan que este tipo de errores, aunque no representan un riesgo directo, pueden debilitar la confianza en los mecanismos de defensa y complicar la gestión de incidentes. “Los falsos positivos sistemáticos generan fatiga de alertas y pueden ocultar ataques reales”, indica Javier Ortega, CISO de una entidad financiera española. Otros expertos advierten sobre el peligro de realizar cambios manuales en la configuración del firewall como respuesta a notificaciones incorrectas.

Implicaciones para Empresas y Usuarios

Para las empresas sujetas a normativas de protección de datos (GDPR) y a la inminente Directiva NIS2, la capacidad de demostrar la operatividad de los controles de seguridad es crítica. Este incidente pone de relieve la importancia de disponer de procedimientos de verificación independientes y de canales de comunicación efectivos entre los equipos de TI, seguridad y usuarios finales.

Las organizaciones deben reforzar la formación interna sobre la interpretación de alertas del sistema y priorizar la vigilancia sobre posibles cambios no autorizados en la configuración de red, especialmente en entornos con gestión remota de endpoints.

Conclusiones

El error de notificación del Firewall de Windows introducido por la actualización de junio de 2025 no constituye una vulnerabilidad ni expone los sistemas a nuevas amenazas, pero sí representa un reto operativo para los equipos de seguridad. La recomendación es mantener la calma, verificar el estado real de los servicios y esperar el lanzamiento del parche oficial. Este incidente subraya la necesidad de resiliencia organizativa ante errores de software y la importancia de canales de comunicación claros con los proveedores.

(Fuente: www.bleepingcomputer.com)