Microsoft publicó el martes actualizaciones de seguridad para corregir un conjunto de 59 fallos en su software, incluidos seis que la compañía afirma han sido explotados activamente.

De los 59 fallos, cinco están clasificados como críticos, 52 como importantes y dos como moderados en gravedad. Veinticinco de las vulnerabilidades parcheadas han sido clasificadas como de elevación de privilegios, seguidas por ejecución remota de código (12), suplantación de identidad (7), divulgación de información (6), omisión de funciones de seguridad (5), denegación de servicio (3) y secuencias de comandos entre sitios (1).

Cabe señalar que los parches se suman a tres fallos de seguridad que Microsoft ha corregido en su navegador Edge desde la publicación de la actualización del martes de parches de enero de 2026, incluida una vulnerabilidad moderada que afecta a Edge para Android (CVE-2026-0391, puntuación CVSS: 6,5) que podría permitir a un atacante no autorizado realizar suplantación de identidad a través de una red aprovechando una "tergiversación de la interfaz de usuario de información crítica".

  • CVE-2026-21510 (CVSS 8.8): Fallo del mecanismo de protección en Windows Shell que permite a un atacante no autorizado omitir una función de seguridad a través de la red.
  • CVE-2026-21513 (CVSS 8.8): Fallo del mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado omitir una función de seguridad a través de la red.
  • CVE-2026-21514 (CVSS 7.8): Dependencia de entradas no fiables en una decisión de seguridad en Microsoft Office Word que permite a un atacante no autorizado omitir una función de seguridad localmente.
  • CVE-2026-21519 (CVSS 7.8): Acceso a un recurso usando un tipo incompatible ('confusión de tipo') en el Administrador de ventanas del escritorio que permite a un atacante autorizado elevar privilegios localmente.
  • CVE-2026-21525 (CVSS 6.2): Desreferencia de puntero nulo en el Administrador de conexiones de acceso remoto de Windows que permite a un atacante no autorizado denegar servicio localmente.
  • CVE-2026-21533 (CVSS 7.8): Gestión incorrecta de privilegios en Escritorio remoto de Windows que permite a un atacante autorizado elevar privilegios localmente.

Detalles de las vulnerabilidades explotadas

Los equipos de seguridad de Microsoft y Google Threat Intelligence Group (GTIG) han sido acreditados por descubrir e informar los primeros tres fallos, que se han listado como públicamente conocidos en el momento del lanzamiento. Actualmente no hay detalles sobre cómo se están explotando las vulnerabilidades ni si se utilizaron como parte de la misma campaña.

CVE-2026-21513 es una vulnerabilidad de omisión de funciones de seguridad en Microsoft MSHTML Framework, un componente central utilizado por Windows y múltiples aplicaciones para renderizar contenido HTML. Es causada por un fallo del mecanismo de protección que permite a los atacantes omitir las indicaciones de ejecución cuando los usuarios interactúan con archivos maliciosos. Un archivo manipulado puede omitir silenciosamente las indicaciones de seguridad de Windows y desencadenar acciones peligrosas con un solo clic.

Satnam Narang, ingeniero senior de investigación en Tenable, señaló que CVE-2026-21513 y CVE-2026-21514 guardan "muchas similitudes" con CVE-2026-21510, siendo la principal diferencia que CVE-2026-21513 también puede explotarse mediante un archivo HTML, mientras que CVE-2026-21514 solo puede explotarse con un archivo de Microsoft Office.

En cuanto a CVE-2026-21525, está vinculado a un zero day que el servicio 0patch de ACROS Security descubrió en diciembre de 2025 mientras investigaba otro fallo relacionado en el mismo componente (CVE-2025-59230).

"Estas [CVE-2026-21519 y CVE-2026-21533] son vulnerabilidades de elevación de privilegios locales, lo que significa que un atacante ya debe haber obtenido acceso a un sistema vulnerable", explicó Kev Breen, director sénior de investigación de amenazas cibernéticas en Immersive. "Esto podría ocurrir a través de un archivo adjunto malicioso, una vulnerabilidad de ejecución remota de código o movimiento lateral desde otro sistema comprometido. Una vez en el sistema, el atacante puede usar estas vulnerabilidades de elevación para escalar privilegios hasta SYSTEM. Con este nivel de acceso, un actor de amenazas podría deshabilitar herramientas de seguridad, implementar malware adicional o, en el peor de los casos, acceder a secretos o credenciales que podrían llevar a un compromiso total del dominio".

La empresa de ciberseguridad CrowdStrike, que ha sido reconocida por informar CVE-2026-21533, afirmó que no atribuye la actividad de explotación a un adversario específico, pero señaló que los actores de amenazas que posean los binarios de explotación probablemente intensificarán sus esfuerzos para usarlos o venderlos a corto plazo.

El binario de explotación de CVE-2026-21533 modifica una clave de configuración de servicio, reemplazándola por una clave controlada por el atacante, lo que podría permitir a los adversarios escalar privilegios para agregar un nuevo usuario al grupo de Administradores.

Este desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) a agregar las seis vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 3 de marzo de 2026.

Actualizaciones adicionales: Certificados Secure Boot y nuevas protecciones

La actualización también coincide con la implementación por parte de Microsoft de nuevos certificados de Secure Boot para reemplazar los certificados originales de 2011 que expirarán a finales de junio de 2026. Los nuevos certificados se instalarán mediante el proceso regular de actualización mensual de Windows sin ninguna acción adicional.

"Si un dispositivo no recibe los nuevos certificados de Secure Boot antes de que expiren los de 2011, la PC seguirá funcionando normalmente y el software existente seguirá ejecutándose", explicó la compañía. "Sin embargo, el dispositivo entrará en un estado de seguridad degradado que limita su capacidad para recibir futuras protecciones a nivel de arranque. A medida que se descubran nuevas vulnerabilidades a nivel de arranque, los sistemas afectados quedan cada vez más expuestos porque no pueden instalar nuevas mitigaciones. Con el tiempo, esto también puede provocar problemas de compatibilidad, ya que los sistemas operativos, firmware, hardware o software dependiente de Secure Boot más nuevos podrían no cargarse".

Paralelamente, Microsoft anunció que está reforzando las protecciones predeterminadas en Windows mediante dos iniciativas de seguridad: el Modo de Seguridad de Línea Base de Windows y la Transparencia y Consentimiento del Usuario. Estas actualizaciones se enmarcan en la Iniciativa de Futuro Seguro y la Iniciativa de Resiliencia de Windows.

"Con el Modo de Seguridad de Línea Base de Windows, Windows avanzará hacia operar con protecciones de integridad en tiempo de ejecución habilitadas por defecto", señaló la compañía. "Estas protecciones garantizan que solo se permita ejecutar aplicaciones, servicios y controladores firmados correctamente, ayudando a proteger el sistema de manipulaciones o cambios no autorizados".

La Transparencia y Consentimiento del Usuario, análoga al marco de Transparencia, Consentimiento y Control (TCC) de Apple macOS, tiene como objetivo introducir un enfoque coherente para manejar las decisiones de seguridad. El sistema operativo solicitará permiso a los usuarios cuando las aplicaciones intenten acceder a recursos sensibles, como archivos, la cámara o el micrófono, o cuando intenten instalar otro software no deseado.

Estas solicitudes están diseñadas para ser claras y accionables, y siempre tendrás la capacidad de revisar y cambiar tus elecciones más tarde. Las aplicaciones y los agentes de IA también deberán cumplir con estándares de transparencia más altos, brindando a los usuarios y administradores de TI una mejor visibilidad de sus comportamientos.
Cybersecurity
Cybersecurity
Cybersecurity
Cybersecurity