Microsoft publicó el martes actualizaciones de seguridad para abordar una serie de 59 defectos en todo su software, incluidas seis vulnerabilidades que, según afirma, han sido explotadas en estado salvaje.

De los 59 defectos, cinco se clasifican como críticos, 52 se clasifican como importantes y dos se clasifican como de gravedad moderada. Veinticinco de las vulnerabilidades parcheadas se clasificaron como escalamiento de privilegios, seguidas de ejecución remota de código (12), suplantación (7), divulgación de información (6), elusión de funciones de seguridad (5), denegación de servicio (3) y creación de scripts entre sitios (1).

Vale la pena señalar que los parches se suman a tres fallos de seguridad que Microsoft ha abordado en su navegador Edge desde el lanzamiento del Actualización del martes de parches de enero de 2026 , incluida una vulnerabilidad moderada que afecta al navegador Edge para Android ( CVE-2026-0391 , puntuación CVSS: 6,5), lo que podría permitir a un atacante no autorizado realizar una suplantación de identidad en una red aprovechando una «tergiversación de información crítica en la interfaz de usuario».

adsense

Encabezando la lista de actualizaciones de este mes hay seis vulnerabilidades que se han marcado como explotadas activamente -

  • CVE-2026-21510 (puntuación CVSS: 8,8): fallo del mecanismo de protección en Windows Shell que permite a un atacante no autorizado eludir una función de seguridad en una red.
  • CVE-2026-21513 (Puntuación CVSS: 8,8): fallo del mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado eludir una función de seguridad en una red.
  • CVE-2026-21514 (puntuación CVSS: 7,8): se basa en datos no confiables para tomar una decisión de seguridad en Microsoft Office Word, lo que permite a un atacante no autorizado eludir una función de seguridad de forma local.
  • CVE-2026-21519 (puntuación CVSS: 7,8): acceso a un recurso mediante un tipo incompatible («confusión de tipos») en el administrador de ventanas de escritorio que permite a un atacante autorizado aumentar los privilegios de forma local.
  • CVE-2026-21525 (Puntuación CVSS: 6.2): desreferencia de puntero nulo en el Administrador de conexiones de acceso remoto de Windows que permite a un atacante no autorizado denegar el servicio localmente.
  • CVE-2026-21533 (Puntuación CVSS: 7,8): una administración de privilegios inadecuada en el escritorio remoto de Windows que permite a un atacante autorizado aumentar los privilegios localmente.

A los propios equipos de seguridad de Microsoft y a Google Threat Intelligence Group (GTIG) se les ha atribuido el mérito de descubrir y denunciar las tres primeras fallas, que figuraban como conocidas públicamente en el momento de su publicación. Por el momento no hay detalles sobre cómo se están explotando las vulnerabilidades ni sobre si se utilizaron como armas en el marco de la misma campaña.

«El CVE-2026-21513 es una función de seguridad que elude la vulnerabilidad del MSHTML Framework de Microsoft, un componente fundamental utilizado por Windows y varias aplicaciones para renderizar contenido HTML», dijo Jack Bicer, director de investigación de vulnerabilidades de Action, dijo . «Se debe a una falla en el mecanismo de protección que permite a los atacantes eludir las instrucciones de ejecución cuando los usuarios interactúan con archivos maliciosos. Un archivo creado puede eludir silenciosamente las instrucciones de seguridad de Windows y desencadenar acciones peligrosas con un solo clic».

Satnam Narang, ingeniero de investigación sénior de Tenable, dijo que el CVE-2026-21513 y el CVE-2026-21514 tienen «muchas similitudes» con el CVE-2026-21510, con la principal diferencia de que el CVE-2026-21513 también se puede explotar mediante un archivo HTML, mientras que el CVE-2026-21514 solo se puede explotar con un archivo de Microsoft Office.

En cuanto al CVE-2026-21525, está vinculado a un día cero, como decía el servicio 0patch de ACROS Security. descubierto en diciembre de 2025, mientras investigando otro defecto relacionado en el mismo componente ( CVE-2025-59230 ).

«Estas [CVE-2026-21519 y CVE-2026-21533] son vulnerabilidades de escalamiento de privilegios locales, lo que significa que un atacante ya debe haber accedido a un host vulnerable», dijo Kev Breen, director sénior de investigación de ciberamenazas de Immersive, a The Hacker News por correo electrónico. «Esto puede deberse a un archivo adjunto malintencionado, a una vulnerabilidad de ejecución remota de código o a un movimiento lateral desde otro sistema comprometido».

«Una vez en el host, el atacante puede usar estas vulnerabilidades de escalamiento para elevar los privilegios a SYSTEM. Con este nivel de acceso, un agente de amenazas podría desactivar las herramientas de seguridad, implementar malware adicional o, en el peor de los casos, acceder a secretos o credenciales que podrían comprometer completamente el dominio».

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar las seis vulnerabilidades a sus vulnerabilidades explotadas conocidas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 3 de marzo de 2026.

La actualización también coincide con el lanzamiento de Microsoft certificados de Secure Boot actualizados para reemplazar los certificados originales de 2011 que vencerán a fines de junio de 2026. Los nuevos certificados se instalarán mediante el proceso regular de actualización mensual de Windows sin ninguna acción adicional.

«Si un dispositivo no recibe los nuevos certificados de Secure Boot antes de que caduquen los de 2011, el PC seguirá funcionando con normalidad y el software existente seguirá funcionando», dijo el gigante tecnológico dijo . «Sin embargo, el dispositivo entrará en un estado de seguridad degradado que limitará su capacidad de recibir futuras protecciones a nivel de arranque».

enlaces

«A medida que se descubren nuevas vulnerabilidades a nivel de arranque, los sistemas afectados quedan cada vez más expuestos porque ya no pueden instalar nuevas mitigaciones. Con el tiempo, esto también puede provocar problemas de compatibilidad, ya que es posible que los sistemas operativos, el firmware, el hardware o el software que depende del arranque seguro más nuevos no se carguen».

Paralelamente, la compañía dijo que también está reforzando las protecciones predeterminadas en Windows a través de dos iniciativas de seguridad, el modo de seguridad básica de Windows y la transparencia y el consentimiento del usuario. Las actualizaciones son de la competencia de Iniciativa Futuro Seguro e Iniciativa de Resiliencia de Windows .

«Con Windows Baseline Security Mode, Windows pasará a operar con las protecciones de integridad del tiempo de ejecución habilitadas de forma predeterminada», apuntado . «Estas medidas de seguridad garantizan que solo se puedan ejecutar las aplicaciones, los servicios y los controladores debidamente firmados, lo que ayuda a proteger el sistema contra manipulaciones o cambios no autorizados».

Transparencia y consentimiento del usuario, similares a Transparencia, consentimiento y control de Apple macOS ( TCC ), tiene como objetivo introducir un enfoque coherente para gestionar las decisiones de seguridad. El sistema operativo avisará a los usuarios cuando las aplicaciones intenten acceder a recursos confidenciales, como archivos, la cámara o el micrófono, o cuando intenten instalar otro software no deseado.

«Estas instrucciones están diseñadas para ser claras y prácticas, y siempre tendrás la posibilidad de revisar y cambiar tus elecciones más adelante», afirma Logan Iyer, ingeniero distinguido de Microsoft. «También se espera que las aplicaciones y los agentes de inteligencia artificial cumplan con estándares de transparencia más altos, lo que brindará a los usuarios y a los administradores de TI una mejor visibilidad de sus comportamientos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.