En abril de 2025, una actualización de seguridad de Windows llamó la atención por algo inusual: una nueva carpeta llamada inetpub apareció sin previo aviso en muchas computadoras. Al principio, Microsoft no dijo nada, pero luego aclaró que se trataba de una medida para mitigar una vulnerabilidad crítica (CVE-2025–21204) que permitía escalar privilegios usando enlaces simbólicos.
Sin embargo, el investigador Kevin Beaumont descubrió que esta “solución” podría abrir otra puerta. Un usuario sin privilegios puede usar la carpeta inetpub para crear un enlace simbólico hacia una app como el Bloc de notas. Esto hace que futuras actualizaciones de seguridad fallen y se reviertan, dejando el sistema vulnerable.
Aunque el método compartido tiene detalles técnicos discutibles, la falla es real. Beaumont reportó el problema a Microsoft, pero aún no ha recibido respuesta.
Mientras tanto, se recomienda seguir buenas prácticas: mantener el sistema actualizado, evitar software no confiable y desactivar accesos remotos innecesarios. Aun así, se necesita una corrección oficial de Microsoft para cerrar esta brecha por completo.
