La arquitectura de Windows vuelve a estar bajo el microscopio. Investigadores de Kaspersky, liderados por el especialista Haidar Kabibo, han presentado en la reciente Black Hat Asia 2026 una nueva técnica de ataque bautizada como PhantomRPC.
A diferencia de los fallos de software convencionales, esta vulnerabilidad no se debe a un error de código, sino a una debilidad estructural en el protocolo de Llamada a Procedimiento Remoto (RPC) de Microsoft, lo que permite a un atacante con acceso limitado escalar sus privilegios hasta obtener el control total del equipo (SYSTEM level).
Lee también: ¿El fin de las apps? OpenAI prepara un “iPhone de IA” que funcionará totalmente sin aplicaciones
El ataque del “Servidor Fantasma”
El problema radica en cómo Windows gestiona las conexiones cuando un servicio legítimo no está disponible. Tal como detalla el informe analizado por Computer Hoy, la técnica funciona de la siguiente manera:
- Suplantación de Identidad: El atacante despliega un servidor RPC malicioso que “imita” a un servicio legítimo que está apagado o no disponible en ese momento.
- El Engaño: Cuando un proceso con altos privilegios intenta conectarse a ese servicio, el sistema no verifica la legitimidad del receptor y se conecta al servidor del atacante.
- Captura de Tokens: Una vez establecida la conexión, el atacante utiliza una función llamada
RpcImpersonateClientpara “robar” la identidad del cliente de alto nivel y ejecutar comandos con permisos de administrador.
Microsoft sin planes de parche
Lo más preocupante para la comunidad tecnológica es la respuesta de Microsoft. Según reportes de Dark Reading, la compañía ha calificado la severidad como “moderada” y no tiene planes de lanzar un parche oficial por ahora.
La justificación de Redmond es que el ataque requiere que el usuario ya tenga el privilegio SeImpersonatePrivilege (usualmente otorgado a cuentas de servicio). Sin embargo, expertos citados por SecurityWeek advierten que esta vulnerabilidad es el “eslabón perdido” ideal para que atacantes que ya han logrado entrar a un sistema (mediante phishing o malware básico) logren una persistencia total y silenciosa en la red corporativa.
Perfil de riesgo: PhantomRPC
| Característica | Detalle Técnico |
|---|---|
| Nombre del Fallo | PhantomRPC |
| Tipo de Amenaza | Escalación de Privilegios Local (LPE) |
| Causa Raíz | Debilidad en la arquitectura RPC de Windows. |
| Estado del Parche | No disponible (Unpatched). |
| Nivel de Dificultad | Bajo (si ya hay acceso local). |
| Impacto | Acceso nivel SYSTEM (Control total). |
El precio de la compatibilidad
Este es el dilema eterno de Microsoft: mantener la compatibilidad con software de hace 20 años a costa de dejar grietas estructurales. PhantomRPC no es un bug que se arregle borrando una línea de código; es una pieza del cimiento que está mal puesta.
Que Microsoft no planee un parche es una señal para que las empresas refuercen sus perímetros, porque la puerta trasera ya está abierta y tiene nombre propio.
Preguntas para entender PhantomRPC (FAQ)
- ¿Qué versiones de Windows están afectadas? Se ha confirmado que afecta a todas las versiones modernas, incluyendo Windows 10, 11 y Windows Server 2022/2025. Al ser un fallo de arquitectura, no se limita a un parche específico.
- ¿Pueden hackearme desde internet usando esto? No directamente. PhantomRPC es una vulnerabilidad de Escalación de Privilegios Local (LPE). El atacante ya debe estar “dentro” de tu computadora. El peligro es que hace que un hackeo pequeño se convierta en un desastre total rápidamente.
- ¿Cómo puedo protegerme si no hay parche? La recomendación de Kaspersky y otros entes de ciberseguridad es limitar estrictamente el uso de
SeImpersonatePrivilegey monitorizar excepciones de RPC (vía Event Tracing for Windows - ETW) para detectar intentos de conexión a servidores inexistentes.