• 3 min de lectura
Por qué las pruebas de exploit no son la única forma de demostrar el riesgo
Picus sostiene que los defensores pueden validar la explotabilidad sin lanzar exploits reales, usando pruebas por pasos de ataque para priorizar parches más rápido.

Imagen: BleepingComputer
Según Picus Software, el antiguo margen entre la divulgación y la explotación se ha evaporado en gran medida. En una publicación patrocinada, la compañía afirma que solo la primera mitad de 2026 produjo más CVE que cualquier año completo registrado antes de 2024, con nuevas entradas apareciendo aproximadamente cada 7,4 minutos. Al mismo tiempo, el Zero Day Clock sitúa ahora la mediana del tiempo hasta explotación en 2026 muy por debajo de un día, frente a semanas hace unos años.
Eso deja a los equipos de seguridad con un problema básico: demasiadas vulnerabilidades, poco tiempo y ninguna forma práctica de probar de forma segura cada sistema vulnerable con exploits reales. Picus sostiene que el pentesting automatizado tradicional solo cubre alrededor del 10–15% de la superficie de ataque típica de una empresa, porque muchos sistemas son demasiado sensibles, están fuertemente regulados, aislados por air-gap o carecen de un exploit público.
En lugar de esperar a que exista código weaponizado, Picus propone un enfoque distinto: demostrar si una cadena de ataque funcionaría validando sus pasos requeridos. Eso significa mapear una vulnerabilidad a comportamientos como ejecución inicial, evasión de defensas, escalado de privilegios, robo de credenciales y movimiento lateral, y luego probar si esos pasos pueden pasar a través de las defensas ya desplegadas. Si uno de los pasos requeridos queda bloqueado, la cadena de explotación falla aunque la vulnerabilidad siga sin parchear.
La compañía ilustra ese modelo con Nightmare-Eclipse, también referido como Chaotic Eclipse y Dead Eclipse. Picus lo describe como una serie de divulgaciones no coordinadas de zero-day de Windows publicadas por un único investigador desde principios de abril de 2026, a menudo sin CVE ni parche en el momento de la publicación. Tres herramientas son centrales en el ejemplo:
- BlueHammer: una técnica de escalado de privilegios local que usa una lectura privilegiada de un archivo vinculada a una condición de carrera en Windows Defender
- RedSun: una escritura privilegiada de archivos que sobrescribe TieringEngineService.exe y lo dispara como SYSTEM
- UnDefend: una herramienta de interrupción de Defender que bloquea archivos de firmas y evita actualizaciones mientras informa falsamente de un estado saludable a la consola EDR
Cómo Picus simula la cadena de ataque
En lugar de ejecutar el exploit real, Picus afirma que puede emular de forma segura los comportamientos clave. En el ejemplo de Nightmare-Eclipse, eso incluye crear un servicio inofensivo llamado “Evilsvc” para representar la ejecución como SYSTEM, volcar la colmena SAM mediante Volume Shadow Copy para probar la detección de acceso a credenciales, y usar unDefender para detener el servicio Windows Defender y comprobar si la protección contra manipulaciones se mantiene.

Recomendado
Errores en extensiones de Joomla entran en la lista de vulnerabilidades explotadas de CISA
Según la compañía, ejecutar esos pasos en secuencia muestra si la cadena completa tendría éxito en un entorno en vivo sin desplegar malware en sistemas de producción.
Picus enmarca esto como un complemento a las pruebas con exploits reales, no como un reemplazo. Donde existe un exploit utilizable y es seguro lanzarlo, la compañía afirma que el pentesting autónomo ofrece la prueba más sólida. Donde no es seguro, o aún no existe un exploit, el encadenamiento de TTP pretende llenar el vacío. La propuesta es sencilla: usar ambos métodos de forma continua, porque un control que bloqueó un ataque el mes pasado puede fallar después del siguiente cambio de configuración.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


