Ni actualizar Windows 11 te libra de este fallo: permite conseguir permisos máximos en el PC

Un investigador de seguridad conocido como Chaotic Eclipse o Nightmare Eclipse ha publicado una prueba de concepto llamada MiniPlasma. A grandes rasgos, permite elevar permisos en el sistema operativo hasta el nivel de SYSTEM. Esto ocurre incluso en ordenadores con Windows 11 completamente actualizados con los parches de mayo de 2026.

El problema es más grave de lo que parece, ya que está relacionado con una vulnerabilidad que Microsoft ya dio por corregida en 2020 como CVE-2020-17103. Este fallo nuevo afecta al controlador Windows Cloud Files Mini Filter Driver , identificado como cldflt.sys.

Qué es MiniPlasma y por qué preocupa

MiniPlasma no es un virus ni un ataque remoto, es una prueba de concepto de escalada local de privilegios. Implica que el atacante debería ejecutar código previamente en el ordenador, por ejemplo, con malware, phishing, una descarga maliciosa o acceso local.

El problema viene después de que esto suceda. Si el exploit funciona, una cuenta estándar podría abrir una consola con permisos SYSTEM, el nivel más alto de privilegios en Windows. Podéis imaginar el destrozo que esto puede ocasionar, permitiendo desactivar el antivirus, modificar configuraciones críticas, instalar componentes o moverse a otros sistemas de la misma red.

BleepingComputer afirma que probó el exploit en un Windows 11 Pro actualizado con el Patch Tuesday de mayo de 2026, logrando abrir una consola con privilegios SYSTEM desde una cuenta estándar. El analista Will Dormann , de Tharros, confirmó que el fallo está presente en la versión pública más reciente de Windows 11, aunque no en la última compilación Canary de Windows 11 Insider Preview.

Infografía detallada sobre el funcionamiento del exploit MiniPlasma y su persistencia en versiones actuales de Windows 11.

El fallo apunta a un componente relacionado con archivos en la nube

La vulnerabilidad afecta a cldflt.sys, el controlador Windows Cloud Files Mini Filter Driver. Este está presente en el sistema de archivos y se utiliza cuando entran en escena servicios de almacenamiento en la nube. Si nos metemos a nivel muy técnico, los investigadores hablan de una rutina llamada HsmOsBlockPlaceholderAccess. El fallo abusa de la forma en que ese controlador gestiona la creación de claves del registro.