Hoy 3 de mayo de 2026, administradores de sistemas de todo el mundo han visto cómo Microsoft Defender for Endpoint y Microsoft Defender Antivirus comenzaban a disparar alertas de severidad crítica contra uno de los componentes más inocentes del ecosistema Windows: los certificados raíz legítimos de DigiCert.
La detección en cuestión, Trojan:Win32/Cerdigent.A!dha, pasó en cuestión de minutos de ser una amenaza desconocida para la mayoría a convertirse en trending topic en foros de TI y canales de SOC. El motivo: no se trata de una campaña de malware, sino de uno de los falsos positivos más disruptivos de los últimos meses.
El falso positivo: certificados raíz bajo sospecha
Los reportes masivos coinciden en un patrón: Defender comenzó a detectar entradas del registro y archivos relacionados con el almacén de certificados raíz de Windows (Trusted Root Certification Authorities), específicamente asociados a DigiCert.
En un entorno normal, estos certificados son la base de la confianza en internet: sin ellos, los navegadores no pueden validar conexiones HTTPS, las firmas de código pierden validez y las VPN basadas en certificados dejan de funcionar. Marcarlos como troyanos genera un efecto en cascada:
- Cuarentena automática de claves criptográficas del sistema.
- Alertas de severidad alta en los dashboards de Defender for Endpoint.
- Ansiedad operativa en equipos de seguridad que deben descartar incidentes reales.
- Riesgo de sobre-reacción: si un administrador decide «limpiar» agresivamente, puede corromper el almacén de certificados y dejar servicios inoperativos.
Impacto en entornos corporativos
Para un SOC, este tipo de evento es una prueba de fuego. La pregunta inmediata que surge es: ¿es un ataque de supply chain donde los certificados DigiCert realmente han sido comprometidos, o es un fallo de la herramienta de detección?
La respuesta, en este caso, apunta al segundo escenario. La correlación de múltiples fuentes independientes y la ausencia de comportamiento malicioso real (no hay callbacks a C2, no hay procesos hijos sospechosos, no hay persistencia en Run keys) indican un falso positivo masivo originado en las firmas de Defender.
El riesgo secundario es operativo: si el equipo de seguridad pierde horas investigando certificados legítimos, está dejando de monitorizar amenazas reales. Es la definición de alert fatigue llevada al extremo.
Mitigación
Microsoft ha publicado la actualización de definiciones de inteligencia de seguridad 1.449.430.0, que corrige este falso positivo. Si tu organización se ha visto afectada, estos son los pasos recomendados:
Asegúrate de que todos los endpoints tengan la última versión de las definiciones de antivirus. En entornos empresariales, fuerza la sincronización desde Microsoft Intune, SCCM o tu consola de administración de Defender.
Indicadores de Compromiso (IOCs) y Datos de Verificación
Detección de la amenaza
Table
| Campo | Valor |
|---|---|
| Nombre de detección | Trojan:Win32/Cerdigent.A!dha |
| Tipo de detección | Heurística / Comportamental (!dha) |
| Severidad reportada | Crítica / Alta |
| Definición problemática | Actualización de firmas ~30 de abril de 2026 |
| Definición correctora | Versión 1.449.430.0 |
Certificados legítimos afectados
Table
| Certificado | Thumbprint (SHA-1) | Estado |
|---|---|---|
| DigiCert Assured ID Root CA | 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 | Falso positivo confirmado |
| DigiCert Trusted Root G4 | DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 | Falso positivo confirmado |
