Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

Microsoft usa MDASH para encontrar 16 fallas de Windows con más de 100 agentes de IA

Microsoft usa MDASH para hallar 16 fallas de Windows con más de 100 agentes de IA

John P. imagen de perfil
por John P.
Publicado
Microsoft usa MDASH para encontrar 16 fallas de Windows con más de 100 agentes de IA
Photo by Zulfugar Karimov / Unsplash

TL;DR:

Microsoft presentó MDASH, un sistema agentic de ciberseguridad para detectar vulnerabilidades en código.
La herramienta ayudó a encontrar 16 fallas de Windows, incluidas cuatro RCE críticas.
El avance presiona a las empresas a acelerar parches, validación y gestión de exposición.

Microsoft presentó MDASH, un sistema de ciberseguridad impulsado por IA que orquesta más de 100 agentes especializados para buscar vulnerabilidades en código. La compañía dijo que la herramienta ayudó a identificar 16 vulnerabilidades nuevas en Windows, incluidas cuatro fallas críticas de ejecución remota de código, dentro del Patch Tuesday del 12 de mayo de 2026. El anuncio importa porque mueve la detección de bugs de seguridad hacia un modelo más continuo, automatizado y competitivo: defensores y atacantes ya están usando IA para encontrar debilidades con mayor velocidad.

MDASH es un sistema agentic de descubrimiento de vulnerabilidades que usa varios modelos de IA y agentes especializados para preparar, escanear, validar, deduplicar y probar posibles fallas antes de enviarlas a revisión humana.

Microsoft lo describe como un arnés de escaneo multi-modelo, no como un simple chatbot de seguridad. El punto central está en la orquestación: distintos agentes cumplen funciones diferentes dentro de una cadena de análisis que intenta reducir falsos positivos y probar si una vulnerabilidad realmente puede detonarse.

"El modelo es una entrada. El sistema es el producto", escribió Taesoo Kim, vicepresidente de seguridad agentic en Microsoft.

La compañía atribuyó el desarrollo a su equipo Autonomous Code Security, en colaboración con Windows Attack Research and Protection. Según Microsoft, el sistema trabaja con modelos frontier y modelos destilados, lo que le permite cambiar piezas del stack sin reconstruir toda la arquitectura.

Computer screen displaying code with a context menu.
Photo by Daniil Komov / Unsplash

Las fallas críticas tocaron componentes clave de Windows

Las 16 CVEs detectadas con MDASH afectaron el stack de red y autenticación de Windows. Microsoft clasificó cuatro como críticas por ejecución remota de código, una categoría especialmente sensible porque puede permitir que un atacante ejecute instrucciones en un sistema vulnerable sin acceso físico.

Entre las fallas más relevantes aparecen:

  • CVE-2026-33827: falla use-after-free remota y no autenticada en tcpip.sys, asociada con paquetes IPv4 manipulados con la opción Strict Source and Record Route.
  • CVE-2026-33824: doble liberación de memoria en ikeext.dll, vinculada con IKEv2 y escenarios como RRAS VPN, DirectAccess y Always-On VPN.
  • CVE-2026-41089: desbordamiento en Netlogon, reportado como una RCE crítica con impacto en servidores que actúan como controladores de dominio.
  • CVE-2026-41096: falla en Windows DNS Client, también reportada como crítica y con puntaje CVSS de 9.8 en reportes especializados.

Las otras 12 vulnerabilidades quedaron en severidad “Important” e incluyen denegación de servicio, elevación de privilegios, divulgación de información y bypass de funciones de seguridad en componentes como tcpip.sys, http.sys, ikeext.dll y telnet.exe.

El conteo total del Patch Tuesday varía según la metodología. BleepingComputer contabilizó 120 fallas liberadas por Microsoft ese día y sin zero-days divulgados; The Hacker News reportó 138 vulnerabilidades al considerar un alcance más amplio del portafolio. En ambos casos, lo central para esta nota es que Microsoft atribuyó 16 CVEs a MDASH.

Cómo trabaja MDASH por dentro

Microsoft no presentó MDASH como un producto de escaneo tradicional. La plataforma reparte el trabajo entre agentes con funciones acotadas: algunos revisan código fuente, otros cuestionan hallazgos, otros eliminan duplicados y una etapa final intenta construir entradas que reproduzcan el bug.

Su flujo puede leerse así:

  • Prepare: ingesta el código, crea índices y define superficie de ataque.
  • Scan: envía agentes auditores a revisar rutas de código candidatas.
  • Validate: usa agentes “debaters” para discutir si el hallazgo es alcanzable y explotable.
  • Dedup: agrupa reportes equivalentes para evitar ruido operativo.
  • Prove: intenta construir inputs que detonen la vulnerabilidad y prueben su existencia.

Este diseño explica por qué Microsoft insiste en que la ventaja no está solo en el modelo de IA, sino en el sistema completo. Para equipos de seguridad empresarial, la diferencia práctica está en si una herramienta puede pasar de “posible bug” a evidencia accionable sin inundar a los ingenieros con ruido.

Los benchmarks ayudan, pero no cierran la discusión

Microsoft publicó varias pruebas para respaldar sus afirmaciones. En un driver privado de Windows llamado StorageDrive, con 21 vulnerabilidades insertadas deliberadamente, MDASH identificó las 21 sin falsos positivos, de acuerdo con la compañía.

También reportó 96% de recall frente a cinco años de casos confirmados por MSRC en clfs.sys, 100% en tcpip.sys y una puntuación de 88.45% en CyberGym, un benchmark público con 1,507 tareas de vulnerabilidades reales.

CSO Online citó a Sanchit Vir Gogia, analista jefe de Greyhound Research, con una advertencia importante: un leaderboard no reemplaza la disciplina operativa.

"CyberGym es una señal, no una decisión de compra", dijo Gogia. "La maquinaria alrededor del modelo empieza a parecerse a un flujo serio de investigación de seguridad".

La lectura para CISOs es incómoda pero clara. Encontrar más vulnerabilidades más rápido no sirve de mucho si la organización no puede priorizar, parchar, segmentar, reducir exposición y responder con la misma velocidad.

"El descubrimiento sin disciplina de remediación es teatro", dijo Gogia. "Produce dashboards, no resiliencia".

La carrera de IA contra IA ya llegó a la seguridad empresarial

El anuncio de Microsoft cae en un momento en el que más compañías están usando IA para revisar su propio código. SecurityWeek reportó que Palo Alto Networks también usó modelos frontier, incluido Claude Mythos, para analizar su portafolio y publicar 26 advisories que cubren 75 vulnerabilidades.

El riesgo es doble. Las mismas técnicas que ayudan a defensores a encontrar fallas antes de que sean explotadas también pueden acelerar la investigación ofensiva. Por eso Microsoft, en una nota separada de MSRC, pidió a clientes mantener sistemas soportados y actualizados, reducir exposición innecesaria, reforzar identidad, segmentar entornos e invertir en detección y respuesta.

"La IA está cambiando la escala y la velocidad del descubrimiento de vulnerabilidades", escribió Tom Gallagher, vicepresidente de ingeniería de MSRC.

Para empresas mexicanas con infraestructura Windows, VPN corporativa, controladores de dominio o servicios expuestos, el mensaje no es comprar hype. Es revisar inventario, exposición y cadencia de parches. MDASH no elimina el trabajo duro de seguridad; lo vuelve más urgente.

Fuentes: 1, 2, 3, 4, 5, 6

John P. imagen de perfil
por John P.
Publicado

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más