Un investigador de seguridad conocido como Chaotic Eclipse o Nightmare Eclipse ha publicado una prueba de concepto llamada MiniPlasma. A grandes rasgos, permite elevar permisos en el sistema operativo hasta el nivel de SYSTEM. Esto ocurre incluso en ordenadores con Windows 11 completamente actualizados con los parches de mayo de 2026.

El problema es más grave de lo que parece, ya que está relacionado con una vulnerabilidad que Microsoft ya dio por corregida en 2020 como CVE-2020-17103. Este fallo nuevo afecta al controlador Windows Cloud Files Mini Filter Driver, identificado como cldflt.sys.

Qué es MiniPlasma y por qué preocupa

MiniPlasma no es un virus ni un ataque remoto, es una prueba de concepto de escalada local de privilegios. Implica que el atacante debería ejecutar código previamente en el ordenador, por ejemplo, con malware, phishing, una descarga maliciosa o acceso local.

El problema viene después de que esto suceda. Si el exploit funciona, una cuenta estándar podría abrir una consola con permisos SYSTEM, el nivel más alto de privilegios en Windows. Podéis imaginar el destrozo que esto puede ocasionar, permitiendo desactivar el antivirus, modificar configuraciones críticas, instalar componentes o moverse a otros sistemas de la misma red.

BleepingComputer afirma que probó el exploit en un Windows 11 Pro actualizado con el Patch Tuesday de mayo de 2026, logrando abrir una consola con privilegios SYSTEM desde una cuenta estándar. El analista Will Dormann, de Tharros, confirmó que el fallo está presente en la versión pública más reciente de Windows 11, aunque no en la última compilación Canary de Windows 11 Insider Preview.

El fallo apunta a un componente relacionado con archivos en la nube

La vulnerabilidad afecta a cldflt.sys, el controlador Windows Cloud Files Mini Filter Driver. Este está presente en el sistema de archivos y se utiliza cuando entran en escena servicios de almacenamiento en la nube. Si nos metemos a nivel muy técnico, los investigadores hablan de una rutina llamada HsmOsBlockPlaceholderAccess. El fallo abusa de la forma en que ese controlador gestiona la creación de claves del registro.

MiniPlasma resulta especialmente polémico porque está basado en el mismo problema que una vulnerabilidad comunicada originalmente por James Forshaw, de Google Project Zero, en septiembre de 2020. Microsoft la registró como CVE-2020-17103 y lanzó su parche de seguridad correspondiente en diciembre de ese año.

Esa vulnerabilidad se definía como “elevación de privilegios en Windows Cloud Files Mini Filter Driver”, obteniendo en aquel entonces una puntuación CVSS 3.x de 7,8 por parte de NVD y 7,0 por parte de Microsoft. En ambos casos se catalogaba como de alta gravedad.

Sin embargo, según la tesis del investigador que está detrás de MiniPlasma, este fallo es el mismo que sigue presente desde 2020 o bien el parche de seguridad “se perdió” en alguna actualización. Confirma que la prueba de concepto original de Google funcionó sin problemas 6 años después de haber sido supuestamente corregida.