MDASH: plataforma de IA de Microsoft para hallar fallos en Windows

Foto del autor

CyberSecureFox Editorial Team

Microsoft ha anunciado el sistema MDASH (Multi-model Agentic Scanning Harness), una plataforma agente multimodelo para la detección, validación y demostración automatizadas de la explotabilidad de vulnerabilidades en grandes bases de código. Según la empresa, el sistema ya ha detectado 16 vulnerabilidades que se corrigieron en el Patch Tuesday de mayo de 2026, incluidas dos vulnerabilidades críticas de ejecución remota de código en la pila de red de Windows con puntuaciones CVSS de 9.8 y 8.1. El sistema se encuentra en una fase de pruebas cerradas y limitadas con algunos clientes.

Arquitectura: una cadena de más de 100 agentes especializados

MDASH está diseñada como un sistema independiente del modelo: no está vinculada a un modelo lingüístico concreto y, según indica Microsoft, permite la portabilidad entre generaciones de modelos. La idea arquitectónica clave es la orquestación de más de 100 agentes de IA especializados que trabajan sobre un conjunto de modelos avanzados y modelos destilados. Cada agente está orientado a una clase específica de vulnerabilidades y desempeña su función dentro de una cadena de procesamiento de varios pasos.

La cadena de procesamiento incluye varias etapas secuenciales:

  • Análisis del código fuente: construcción de un modelo de amenazas y determinación de la superficie de ataque
  • Auditoría: agentes especializados “auditores” revisan las rutas potencialmente vulnerables en el código
  • Debates: un segundo grupo de agentes “debatientes” valida los hallazgos de los auditores intentando refutarlos
  • Agrupación: se combinan los hallazgos semánticamente equivalentes
  • Prueba: confirmación de la existencia y explotabilidad de la vulnerabilidad

Es fundamental el mecanismo de “disenso”: se emplean modelos avanzados para el razonamiento en la fase de auditoría, modelos destilados para la validación masiva y un modelo avanzado independiente actúa como oponente. Tal y como explica Microsoft, si el auditor marca un fragmento de código como sospechoso y el debatiente no puede refutarlo, aumenta la verosimilitud a posteriori del hallazgo. Según la compañía, los agentes especializados se han construido a partir del análisis de CVE históricos y de los parches correspondientes.

Es importante tener en cuenta: todas las descripciones de la arquitectura y capacidades de MDASH proceden exclusivamente de Microsoft y aún no han sido sometidas a verificación independiente.

Vulnerabilidades detectadas: dos RCE críticas en la pila de red de Windows

De las 16 vulnerabilidades que Microsoft atribuye a MDASH, la empresa destacó dos críticas que afectan a componentes de la pila de red y a la autenticación de Windows:

CVE-2026-33824 (CVSS 9.8): vulnerabilidad de tipo double-free en la biblioteca ikeext.dll. Un atacante no autenticado puede enviar paquetes especialmente diseñados a una máquina Windows con el protocolo Internet Key Exchange (IKE) versión 2 habilitado, lo que conduce a ejecución remota de código. La puntuación CVSS 9.8 indica el nivel de criticidad máximo: el ataque no requiere autenticación, ni interacción del usuario y se realiza a través de la red.

CVE-2026-33827 (CVSS 8.1): vulnerabilidad de condición de carrera (race condition) en el controlador tcpip.sys de la pila TCP/IP de Windows. Un atacante puede enviar un paquete IPv6 especialmente diseñado a un nodo Windows con IPSec habilitado, lo que también conduce a ejecución remota de código. La puntuación CVSS más baja en comparación con la primera vulnerabilidad probablemente se deba a la complejidad de explotar la race condition.

Ambas vulnerabilidades están confirmadas por los boletines oficiales de MSRC. El estado de explotación en el momento de la publicación es desconocido: ninguna de las CVE figura en el catálogo CISA KEV.

Evaluación de impacto

Ambas vulnerabilidades afectan a componentes de red básicos de Windows que se utilizan en entornos corporativos. CVE-2026-33824 representa un riesgo especial para las organizaciones que utilizan infraestructura VPN basada en IKEv2; se trata de un protocolo estándar para IPSec VPN, ampliamente extendido en redes corporativas. CVE-2026-33827 supone una amenaza para cualquier nodo Windows con IPSec activo en redes IPv6, algo habitual en grandes infraestructuras corporativas y gubernamentales.

La ejecución remota de código sin autenticación a través de la pila de red es una de las clases de vulnerabilidades más peligrosas, ya que permite la compromisión sin ninguna interacción del usuario y puede ser utilizada para ataques automatizados.

Contexto más amplio: la carrera de herramientas de IA para encontrar vulnerabilidades

El anuncio de MDASH se inscribe en una tendencia emergente: las principales empresas tecnológicas están lanzando sistemas de IA orientados a la búsqueda automatizada de vulnerabilidades. En el material original se mencionan iniciativas similares —Project Glasswing de Anthropic y Daybreak de OpenAI—; sin embargo, estos proyectos no están confirmados por fuentes independientes en el marco de este análisis.

La declaración del vicepresidente de Microsoft para seguridad basada en agentes, Tesu Kim, de que «la ventaja sostenible reside en el sistema de agentes alrededor del modelo, y no en un modelo concreto», refleja un cambio estratégico: el valor se desplaza de las capacidades brutas de los modelos hacia la arquitectura de orquestación. No obstante, la afirmación de que la búsqueda de vulnerabilidades con IA ha pasado de la fase de investigación a proporcionar una «protección de nivel de producción a escala empresarial» se basa principalmente en el propio informe del proveedor y requiere confirmación independiente.

Recomendaciones

  • Instale de inmediato las actualizaciones del Patch Tuesday de mayo de 2026, en primer lugar los parches para CVE-2026-33824 y CVE-2026-33827
  • Priorice CVE-2026-33824 (CVSS 9.8) en los sistemas con IKEv2 habilitado; esto se aplica a los gateways VPN y servidores de acceso remoto
  • Verifique la configuración de IPSec en los nodos Windows de redes IPv6; si no es posible actualizar de inmediato, considere restringir temporalmente el tráfico IPv6 entrante en los sistemas vulnerables
  • Realice una auditoría de los servicios de red expuestos a Internet para detectar puertos IKE abiertos (UDP 500, UDP 4500)
  • Supervise los boletines de MSRC para detectar la aparición de información sobre explotación activa de estas vulnerabilidades

Independientemente de la evaluación de la madurez de MDASH como herramienta, las vulnerabilidades descubiertas con su ayuda son reales y están confirmadas por los boletines oficiales de Microsoft. Las organizaciones que utilicen VPN basadas en IKEv2 o IPSec en redes IPv6 deberían considerar la instalación de los parches para CVE-2026-33824 y CVE-2026-33827 como una prioridad de primer orden en el ciclo de actualizaciones actual.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio