No suele ser lo común, pero en esta ocasión Google acaba de exponer una grave vulnerabilidad en Windows 11. Concretamente, de nombre CVE-2025-59230, la cual permite escalar privilegios hasta el nivel de administrador. Microsoft intentó solucionarla en octubre, pero no lo hizo con éxito. Fue así que Google reveló ayer 16 de diciembre todos los detalles, lo que no ha sentado del todo bien en las oficinas de Redmond.
Este conflicto entre ambos gigantes es un episodio más que viene repitiéndose desde 2014. Google y Microsoft han estado en guerra abierta a la hora de revelar vulnerabilidades públicamente. Mientras que Microsoft apuesta por una política enfocada a avisar privadamente y esperar a que se repare cualquier error, Google insiste en su política de «90 días automáticos». Es decir, revelar públicamente los errores si no se ha solucionado el principal problema.
Microsoft lo llamó «gotcha» en el año 2015. Refiriéndose a este término como una táctica sucia donde se saca a la luz un error para exponer al contrincante públicamente. Desde entonces, Google ha respondido revelando más bugs. Por lo que, mientras Microsoft enfurece, Google continúa con su política con la argumentación de proteger usuarios.
El parche que no ha funcionado y su revelación
La vulnerabilidad CVE-2025-59230 afecta a un servicio crítico de Windows de nombre RasMan (Remote Access Connection Manager), que gestiona VPN y conexiones de manera remota. Y permite a los atacantes escalar privilegios en el PC hasta obtener el acceso a nivel SYSTEM. Es decir, el control total del sistema.
https://x.com/paramdhagia/status/2000842812921942116?s=20
Microsoft obtuvo esta información el pasado mes de octubre y lanzó un parche. Pero los investigadores de Project Zero -rama de Google distinguida en ciberseguridad- descubrieron que no era una solución suficiente. De hecho, mientras investigaban esta vulnerabilidad, encontraron un segundo zero-day que, en combinación con la vulnerabilidad, dejaba inútil el parche lanzado anteriormente.
Fue entonces Google quien descubrió que esta vulnerabilidad ya se estaba explotando. El servicio RasMan ha sufrido más de 20 vulnerabilidades desde el año 2022. Es decir, que Microsoft no encuentra manera alguna de ofrecer un 100% de seguridad en este componente.
Dada la situación, ayer, 16 de diciembre, Google ejecutó su política de 90 días y reveló públicamente los detalles de CVE-2025-59230. Microsoft, una vez más, ha enfurecido.
El historial de Google y Microsoft
Este conflicto data de hace más de una década. El 11 de enero de 2015, Google reveló una vulnerabilidad en Windows 8.1. Exactamente 90 días después de notificar el problema a Microsoft. Desde Redmond pidieron un plazo de tiempo superior, pero Google lo rechazó. E inclñuso Google lo sacó a la luz dos días antes del parche previsto de Microsoft. Chris Betz, derector senior de Microsoft Security Response Center, escribió un blog acusando a Google de «gotcha».
Microsoft argumentó que una divulgación coordinada era más importante para atajar cualquier problema. Su filosofía es que cuanta menos información haya, menos ordenadores pueden perjudicarse hasta que haya un parche disponible.
Pero desde Google siguieron revelando más vulnerabilidades. Ahora, a finales de 2025, parece que todo sigue su curso de revelaciones. Microsoft argumenta que Google pone en riesgos a los clientes si revela los exploits de manera pública. Mientras que Google dice que Microsoft ha tenido años para arreglar RasMan y no lo han hecho.
Desde la empresa de Kaspersky, famosa por su prestigioso antivirus, hubo un amago de intervención en el año 2020. «Cuál es el verdadero interés de los usuarios en estea escalada?». Argumentó que Google priorizaba la transparencia e igualdad, pero que Microsoft priorizaba que los desarrolladores tuvieran tiempo para reparar sin que los ciberdelincuentes tuvieran información.
Ambos con argumentos válidos. Pero cada nueva vulnerabilidad en RasMan supone que Google pone a Microsoft entre la espada y la pared. Unos lo ven como una estrategia para manchar la imagen de Microsoft, otros como una presión efectiva que pone las pilas a Microsoft.
