La ciberseguridad enfrenta una nueva amenaza: Defendnot, una herramienta sofisticada creada por el investigador es3n1n que explota una vulnerabilidad de Windows para desactivar por completo Windows Defender. Lo más preocupante es que Defendnot logra desactivar el sistema de seguridad interno de Microsoft sin instalar ningún antivirus alternativo. Así, deja el PC totalmente expuesto a ciberataques.

La técnica desarrollada por es3n1n explota una API no documentada del Centro de seguridad de Windows que utilizan los programas antivirus para comunicar al sistema operativo que están activos y toman la «responsabilidad» de la protección del dispositivo en tiempo real. El registro de un antivirus en Windows desencadena legítimamente la desactivación automática de Defender para evitar conflictos derivados de la ejecución simultánea de varias soluciones de seguridad en el mismo sistema . Defendnot, como fácilmente podrás imaginar, abusa de esta API registrando un falso antivirus que, sin embargo, consigue pasar todas las comprobaciones de validación implementadas por Windows.

¿Qué sabemos sobre Defendnot y cómo funciona?

Un investigador independiente, es3n1n, desarrolló Defendnot. Este exploit manipula la API del Centro de seguridad de Windows (WSC) para engañar al sistema y hacerle creer que un antivirus de terceros protege el equipo.

Ante este falso escenario, Windows desactiva Defender automáticamente para evitar conflictos entre software de seguridad, incluso si no existe otro antivirus instalado. No se trata de malware tradicional, sino de una estrategia que burla las defensas de Microsoft y abre la puerta a posibles ataques.

Además, Defendnot evade los controles visuales del sistema: la interfaz de seguridad sigue mostrando una protección activa, aunque en realidad el PC carece de defensas.

El exploit no es temporal. Defendnot se ancla al sistema mediante una entrada en el Programador de tareas de Windows, reactivándose en cada inicio. Sin una intervención manual —como habilitar un antivirus real o reactivar Defender—, el equipo permanecerá vulnerable.

¿Linux es más seguro que Windows? Comparación real para usuarios comunes

¿Cómo responde Microsoft?

Microsoft confirmó que conoce la amenaza y actualizó Defender para detectar Defendnot y ponerlo en cuarentena. Sin embargo, esta medida solo funciona si Defender está activo cuando se ejecuta la herramienta.

Este ataque revela problemas en la gestión de privilegios y API de Windows. Aunque su flexibilidad permite la coexistencia de múltiples antivirus, también facilita que amenazas como Defendnot eludan las defensas.

Cabe destacar que, según su creador, Defendnot surgió como una prueba de concepto para investigación en seguridad, no como una amenaza real. No obstante, los ciberdelincuentes podrían adaptar esta herramienta para ataques reales.

Esto refuerza dos aspectos clave:

1. Mantener Windows Defender activo.

2. Actualizarlo siempre para evitar vulnerabilidades que comprometan los datos.

Defendnot también puede mantener la persistencia creando una tarea en el Programador de tareas de Windows para que pueda iniciarse automáticamente en cada inicio de sesión del usuario. La herramienta, que en realidad se considera un proyecto de investigación, demuestra la posibilidad de manipular características legítimas y “confiables” del sistema para desactivar los mecanismos de seguridad. Microsoft Defender ahora parece capaz de detectar y poner en cuarentena Defendnot .