De todas las correcciones lanzadas por Microsoft este mes, hay una que ha quitado el sueño a los expertos en ciberseguridad: la CVE-2025-62562 . Esta vulnerabilidad crítica afecta a Microsoft Outlook, el cliente de correo electrónico más utilizado en el entorno empresarial, y su nivel de peligro es extremo.
El peligro: “Mirar es infectarse”
Lo que hace terrorífico a este fallo es que, en muchos escenarios, no requiere interacción del usuario. A diferencia de los ataques tradicionales donde tienes que descargar un archivo .zip o hacer clic en un enlace sospechoso, esta vulnerabilidad puede activarse simplemente al previsualizar un correo electrónico malicioso.
- El Ataque: El hacker envía un correo electrónico especialmente manipulado a la víctima.
- El Detonante: Si tienes activado el “Panel de Lectura” (esa ventana que muestra el contenido del correo automáticamente al seleccionarlo), el código malicioso se ejecuta instantáneamente.
- El Resultado: El atacante logra la Ejecución Remota de Código (RCE). Básicamente, el correo actúa como una llave maestra que le da al hacker el control sobre tu computadora con los mismos permisos que tú tienes.
El alcance
Esta falla afecta a prácticamente todas las versiones soportadas de Outlook en Windows. Dado que el correo electrónico es la herramienta de trabajo principal de cualquier empresa, la superficie de ataque es gigantesca.
¿Por qué es tan peligroso el Panel de Lectura?
El Panel de Lectura procesa el contenido HTML, las imágenes y los scripts incrustados en el correo para mostrarlos bonitos. Esa complejidad es donde se esconden los errores. Al renderizar (dibujar) el correo malicioso, Outlook se tropieza con el código trampa del hacker y permite la intrusión.
Solución de Emergencia (Solución alternativa)
Si por alguna razón no puedes instalar el parche oficial de Microsoft hoy, existe una medida de contención que debes aplicar ya: Desactiva el Panel de Lectura.
- Cómo hacerlo: En Outlook, ve a la pestaña Vista > Panel de Lectura > Selecciona Desactivado.
- ¿Por qué ayuda? Esto obliga a que tengas que hacer doble clic para abrir un correo. Aunque no elimina la vulnerabilidad, rompe el automatismo del ataque “Zero-Click”, dándote la oportunidad de ver el asunto y el remitente antes de decidir si abrirlo o borrarlo.
El término “Zero-Click”
Un ataque Zero-Click es el “santo grial” de los hackers. Significa infectar un dispositivo sin que la víctima haga clic en nada. Son raros, muy caros en el mercado negro y extremadamente peligrosos. Este CVE en Outlook ingresa en esa categoría si el panel de vista previa está activo.
Ficha Técnica del Fallo
- CVE-2025-62562
- Puntuación CVSS: 9,8 / 10 (Crítica)
- Vector de Ataque: Red (Red) – Se explota remotamente.
- Complejidad: Baja (No requiere condiciones especiales).
- Privilegios Requeridos: Ninguno (No hace falta tener contraseña de la víctima).
- Interacción del Usuario: Ninguna (si el panel de vista previa está activo).
