Microsoft corrigió el 14 de abril de 2026 la CVE-2026-33827, una vulnerabilidad de ejecución remota de código en la pila TCP/IP del sistema operativo. Llegó dentro del Patch Tuesday de abril, el mismo que tapó más de 160 fallos. Este destaca porque no necesita credenciales ni que la víctima haga nada: basta con que el paquete adecuado llegue a la máquina en el momento justo.
El problema está clasificado como condición de carrera (CWE-362). Cuando Windows reensambla fragmentos IPv6 y tiene IPSec activado, los hilos que verifican la firma IPSec y los que gestionan los buffers de fragmentos no se sincronizan bien. Varios hilos pueden tocar el mismo recurso a la vez, y eso deriva en use-after-free o double-free dentro de la memoria del kernel. Si un atacante envía paquetes IPv6 manipulados y consigue ganar la carrera, esa corrupción de memoria puede convertirse en ejecución de código arbitrario con privilegios de kernel. Es decir, control total del equipo.
La nota la sitúa en CVSS 8.1, severidad crítica. La Zero Day Initiative la marcó como potencialmente wormable: un fallo de red, sin autenticación y sin interacción que, en teoría, un gusano podría usar para saltar de máquina en máquina por sí solo. No es una etiqueta que se ponga a la ligera, y es el motivo por el que conviene parchear sin esperar al siguiente ciclo de mantenimiento.
A quién afecta
La explotación tiene una condición previa importante: IPSec tiene que estar habilitado en el equipo objetivo. Eso acota bastante la superficie real. Los candidatos más expuestos son las pasarelas VPN, los servidores de DirectAccess o Always On VPN, los extremos de túneles site-to-site y cualquier host con políticas de IPSec en modo transporte. Una estación de trabajo doméstica con la configuración por defecto, normalmente, no tiene IPSec activo.
Ganar la carrera exige sincronía precisa, así que no es un exploit trivial de lanzar a ciegas. En el momento de la divulgación no había prueba de concepto pública ni explotación detectada en ataques reales. Aun así, la combinación de “remoto + sin autenticación + kernel + wormable” la coloca en la lista de prioridades altas.
Mitigación
La corrección llega con las actualizaciones acumulativas del Patch Tuesday de abril de 2026 (KB5039218 o posterior, vía Windows Update). Instálalas y el problema desaparece.
Si por algún motivo no puedes parchear de inmediato en un equipo concreto, valora deshabilitar IPSec donde no haga falta o aplicar reglas que limiten quién puede establecer sesiones IPsec contra esas máquinas. No sustituye al parche, pero reduce la exposición mientras lo despliegas.
Esta CVE no fue la única grave del boletín. El mismo día Microsoft tapó una RCE wormable en el servicio IKE de Windows con CVSS 9.8 y un zero-day de SharePoint que sí estaba siendo explotado. Si quieres el cuadro completo, lo repasamos en el resumen del Patch Tuesday de abril de 2026 y en el análisis del zero-day de SharePoint. Puedes consultar el ciclo de soporte y las versiones afectadas en la ficha de Windows.