Microsoft advierte: las actualizaciones de Windows de septiembre interrumpen los recursos compartidos SMBv1

Acaban de publicarse los parches de septiembre y el teléfono de soporte técnico no para de sonar: ¡es imposible acceder a los recursos compartidos! Microsoft confirma que el último lote de actualizaciones de Windows corta repentinamente las conexiones SMBv1 en muchas versiones de cliente y servidor. Esto supone un riesgo inmediato para la producción y estrés para los operadores: la interrupción afecta tanto a Windows 11 24H2 como a Windows Server 2025. La acción clave (abrir el puerto 445) restablece el servicio, pero expone el sistema a amenazas más insidiosas. A continuación, se detalla el incidente, las razones de su magnitud y las medidas que deben tomarse de inmediato. Impacto inmediato de las actualizaciones de Windows de septiembre de 2025: En cuanto se aplican los parches, se repite un único síntoma: El intercambio de archivos SMBv1 se interrumpe tanto en las estaciones de trabajo como en los controladores de dominio. El protocolo NetBIOS sobre TCP/IP, heredado de la década de 1990, se niega a negociar. Resultado: El Explorador de Windows muestra un mensaje de error, los scripts de copia de seguridad fallan y algunos programas de gestión de equipos industriales se bloquean. La interrupción se produce incluso si solo uno de los dos terminales del diálogo (cliente o servidor) está parcheado. En otras palabras, una computadora portátil actualizada es suficiente para bloquear el acceso a un NAS sin parchear, y viceversa.

A primera hora de la mañana, varios hospitales franceses tuvieron que reactivar las copias de seguridad locales para leer imágenes médicas almacenadas en servidores antiguos. En Estados Unidos, una cadena de supermercados detectó una interrupción en el flujo de precios destinados a las cajas de autoservicio. ¿El motivo? Un antiguo servidor Windows Server 2008 R2 se mantuvo en producción para una aplicación empresarial que aún requiere SMBv1.

Síntomas observados • Intento de mapeo: código de error 0x80070035. • Consola de PowerShell: Error en el comando Test-Path.

Registros del sistema: evento 31017 «Error en la negociación de SMB v1». Estos rastros confirman que ningún antivirus o firewall de terceros es la causa; el problema reside en el núcleo del sistema.

SMBv1: un protocolo de red obsoleto, pero aún esencial para algunos.

Publicado en 1990, SMBv1 fue reemplazado por SMBv2 en 2007 y posteriormente por SMBv3. Sin embargo, sistemas enteros aún dependen de este protocolo de red: impresoras multifunción antiguas, escáneres de laboratorio, sistemas de automatización industrial, terminales de señalización digital. Eliminar este pilar de golpe equivaldría a paralizar la fábrica o el campus. Microsoft lo entiende y ha dejado de instalarlo por defecto desde Windows 10 1709, sin erradicarlo por completo. Como resultado, el ecosistema permanece fragmentado.
¿Por qué no migrar? Presupuesto, prioridades empresariales, dependencias de software no documentadas. Un hospital alemán estimó el coste de reemplazar sus máquinas de análisis de sangre automatizadas en 2024 en quince millones de euros. Mientras el dispositivo funcione, la tentación de posponer la actualización es fuerte.
Esta inercia explica el alcance global del incidente actual: cada parche de seguridad, diseñado para reforzar la ciberseguridad de las versiones recientes, entra en conflicto con la compatibilidad del software de las herramientas heredadas.

Solución temporal: permitir el tráfico en el puerto 445

Mientras se espera un parche oficial, Microsoft ofrece una solución sencilla: autorizar el puerto 445 en el frontend. El sistema abandona NetBIOS y cambia a SMB integrado con TCP; la conexión se reanuda. En teoría, este truco parece inofensivo. En la práctica, abre una brecha directa en el servicio SMB, un objetivo predilecto de los escáneres automatizados y el ransomware. Por lo tanto, los equipos de SecOps deben elegir entre mantener la producción autorizando el puerto 445 o aislar los servidores afectados en una VLAN temporal. En un proveedor parisino, la decisión fue mixta: el puerto 445 abierto solo entre segmentos de red claramente identificados, una VLAN particionada para estaciones de trabajo de I+D y una mayor monitorización mediante un sistema de detección de intrusos (IDS). El debate recuerda al episodio de WannaCry de 2017. Los parches MS17-010 ya habían obligado a los administradores a elegir entre disponibilidad y seguridad. Seis años después, la ecuación sigue igual, lo que demuestra que una estrategia de gestión de servidores centrada en la obsolescencia programada sigue siendo relevante.

Seguridad informática: Los peligros de un protocolo obsoleto

SMBv1 carece de firmas de preautenticación, integridad de mensajes y protección contra degradaciones. En concreto, un atacante que escuche en la red puede interceptar negociaciones y reproducir paquetes, lo que facilita una toma de control completa. Los exploits EternalBlue y EternalRomance, revelados en 2017, explotan precisamente esta debilidad. En 2023, un grupo de ransomware recicló estos scripts contra un centro logístico belga: acceso inicial mediante SMBv1, escalada de privilegios y cifrado en cascada. El caso subraya una observación: cuanto más tiempo se utiliza SMBv1 en un entorno, mayor es la superficie de ataque. Por lo tanto, la disponibilidad de una solución rápida no debería ocultar el desafío: planificar la migración a SMBv3 lo antes posible, habilitar el cifrado obligatorio e imponer la autenticación Kerberos siempre que sea posible. Mejores prácticas para conciliar compatibilidad y fiabilidad. Incluso antes de que Microsoft lanzara el parche, muchos departamentos de TI adoptaron una hoja de ruta en tres pasos. Paso uno: inventario completo del tráfico SMBv1, capturado mediante NetFlow o Wireshark. Paso dos: reemplazo gradual con soluciones modernas: actualización de firmware, migración de aplicaciones o implementación de puertas de enlace compatibles con SMBv3. Paso tres: fortalecimiento de la red con segmentación, autenticación robusta y monitorización continua.

Una empresa de transporte con sede en Lyon ilustra los beneficios: al aislar un antiguo servidor de contabilidad en una DMZ interna y forzar la firma SMB, los equipos redujeron las alertas de IDS relacionadas con los recursos compartidos en un 90 %. La producción no se interrumpió y la deuda técnica se identificó claramente.

En resumen, el incidente de septiembre es un recordatorio de que la seguridad informática no se puede adquirir únicamente con parches. Depende de una cultura de monitorización, una gobernanza de TI adaptada al riesgo y una política de compatibilidad de software que no comprometa los fundamentos de la ciberseguridad. La próxima actualización del parche no cambiará nada en esta ecuación: anticipar, mapear y migrar siguen siendo la clave.

Fuente: www.bleepingcomputer.com