Entre los casi 200 parches que Microsoft soltó en el Patch Tuesday de junio de 2026 había tres con la nota máxima de gravedad: CVSS 9.8. Uno de ellos, CVE-2026-44815, está en un sitio que casi nadie mira pero que ejecuta cualquier equipo conectado a una red: el servicio cliente DHCP de Windows.
DHCP es el protocolo que pide una dirección IP a la red cuando arrancas el portátil o conectas el móvil al wifi. El cliente está activo en prácticamente todas las instalaciones de Windows, de escritorio y servidor, porque casi nadie configura la IP a mano. Ahí está el problema: la superficie de ataque es enorme.
Qué falla
El fallo es una ejecución remota de código en el componente que procesa las respuestas DHCP. Microsoft lo puntuó con CVSS 9.8, lo que implica vector de red, complejidad baja, sin privilegios previos y sin interacción del usuario. Si esa puntuación es correcta, un atacante en la misma red podría enviar respuestas DHCP manipuladas y ejecutar código en la máquina que las procesa, sin que nadie haga clic en nada.
Hay un matiz que conviene tener presente. El equipo de Zero Day Initiative señaló una contradicción en la documentación: la métrica CVSS dice que no hacen falta permisos, pero la descripción de Microsoft habla de un atacante “autenticado”. ZDI recomienda tirar por lo conservador y fiarse de la CVSS, es decir, asumir el peor escenario hasta que se aclare. Tratarlo como remoto y no autenticado es la postura sensata mientras parcheas.
A quién afecta
A cualquier sistema operativo de Microsoft con la funcionalidad de cliente DHCP, que en la práctica son todos. No importa si es un Windows 11 de escritorio o un Windows Server en un datacenter: si pide IP por DHCP, está expuesto. Por eso ZDI lo describió como un objetivo apetecible. Los entornos con muchas máquinas en una misma red plana son los que más riesgo concentran, porque basta con que un equipo comprometido (o un atacante con un punto de apoyo en la LAN) lance respuestas falsas.
Cómo protegerse
El parche está disponible desde el 9 de junio de 2026 dentro de la actualización acumulativa de ese mes. Instalarlo es la única solución completa. Recomendaciones:
- Aplica el Patch Tuesday de junio de 2026 cuanto antes en todos los Windows, incluidos servidores y máquinas que rara vez se reinician.
- Da prioridad a los equipos en redes compartidas o segmentos poco controlados, donde un atacante podría inyectar tráfico DHCP.
- Como medida de contención de red, una segmentación adecuada y la protección frente a DHCP rogue (DHCP snooping en los switches) reducen la posibilidad de que respuestas falsas lleguen a los clientes, aunque no sustituyen al parche.
Este CVE fue uno de los tres 9.8 del mes, junto con CVE-2026-47291 en HTTP.sys y un fallo en el kernel de Windows. Los tres permiten ejecución de código sin autenticación ni interacción, así que el ciclo de junio merecía atención inmediata. Si gestionas equipos Windows, repasa también el Patch Tuesday de junio de 2026 completo y la ficha de Windows.