Microsoft lanzó el martes actualizaciones de seguridad para abordar un conjunto de 59 fallas en su software, incluidas seis vulnerabilidades que, según dijo, han sido explotadas en la naturaleza.
De los 59 defectos, cinco están clasificados como críticos, 52 como importantes y dos como moderados en gravedad. Veinticinco de las vulnerabilidades parcheadas se han clasificado como escalada de privilegios, seguidas de ejecución remota de código (12), suplantación de identidad (7), divulgación de información (6), omisión de funciones de seguridad (5), denegación de servicio (3) y secuencias de comandos entre sitios (1).
Vale la pena señalar que los parches se suman a tres fallas de seguridad que Microsoft ha abordado en su navegador Edge desde el lanzamiento de la actualización del martes de parches de enero de 2026, incluida una vulnerabilidad moderada que afecta al navegador Edge para Android (CVE-2026-0391, puntuación CVSS: 6.5) que podría permitir a un atacante no autorizado realizar suplantación de identidad en una red aprovechando una «tergiversación de información crítica en la interfaz de usuario».
Encabezando la lista de actualizaciones de este mes se encuentran seis vulnerabilidades que han sido marcadas como explotadas activamente:
- CVE-2026-21510 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en Windows Shell que permite a un atacante no autorizado eludir una característica de seguridad en una red.
- CVE-2026-21513 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado eludir una característica de seguridad en una red.
- CVE-2026-21514 (Puntuación CVSS: 7,8): dependencia de entradas que no son de confianza en una decisión de seguridad en Microsoft Office Word que permite a un atacante no autorizado eludir una característica de seguridad localmente.
- CVE-2026-21519 (Puntuación CVSS: 7,8): un acceso a un recurso que utiliza un tipo incompatible («confusión de tipos») en el Administrador de ventanas del escritorio que permite a un atacante autorizado elevar los privilegios localmente.
- CVE-2026-21525 (Puntuación CVSS: 6,2): una desreferencia de puntero nulo en el Administrador de conexión de acceso remoto de Windows que permite a un atacante no autorizado denegar el servicio localmente.
- CVE-2026-21533 (Puntuación CVSS: 7,8): una gestión de privilegios inadecuada en el Escritorio remoto de Windows que permite a un atacante autorizado elevar los privilegios localmente.
A los propios equipos de seguridad de Microsoft y al Google Threat Intelligence Group (GTIG) se les atribuye el descubrimiento y el informe de las tres primeras fallas, que figuran como conocidas públicamente en el momento de su publicación. Actualmente no hay detalles sobre cómo se están explotando las vulnerabilidades y si fueron utilizadas como arma como parte de la misma campaña.
«CVE-2026-21513 es una característica de seguridad que evita la vulnerabilidad en Microsoft MSHTML Framework, un componente central utilizado por Windows y múltiples aplicaciones para representar contenido HTML», dijo Jack Bicer, director de investigación de vulnerabilidades de Action1. «Se debe a una falla en el mecanismo de protección que permite a los atacantes eludir los mensajes de ejecución cuando los usuarios interactúan con archivos maliciosos. Un archivo manipulado puede eludir silenciosamente los mensajes de seguridad de Windows y desencadenar acciones peligrosas con un solo clic».
Satnam Narang, ingeniero senior de investigación de Tenable, dijo que CVE-2026-21513 y CVE-2026-21514 tienen «muchas similitudes» con CVE-2026-21510, la principal diferencia es que CVE-2026-21513 también se puede explotar usando un archivo HTML, mientras que CVE-2026-21514 solo se puede explotar usando un archivo de Microsoft Office.
En cuanto a CVE-2026-21525, está vinculado a un día cero que el servicio 0patch de ACROS Security dijo haber descubierto en diciembre de 2025 mientras investigaba otra falla relacionada en el mismo componente (CVE-2025-59230).
«Estas (CVE-2026-21519 y CVE-2026-21533) son vulnerabilidades de escalada de privilegios locales, lo que significa que un atacante ya debe haber obtenido acceso a un host vulnerable», dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive, a The Hacker News por correo electrónico. «Esto podría ocurrir a través de un archivo adjunto malicioso, una vulnerabilidad de ejecución remota de código o un movimiento lateral desde otro sistema comprometido».
«Una vez en el host, el atacante puede utilizar estas vulnerabilidades de escalada para elevar los privilegios al SISTEMA. Con este nivel de acceso, un actor de amenazas podría desactivar las herramientas de seguridad, implementar malware adicional o, en el peor de los casos, acceder a secretos o credenciales que podrían llevar a un compromiso total del dominio».
El proveedor de ciberseguridad CrowdStrike, reconocido por informar sobre CVE-2026-21533, dijo que no atribuye la actividad de explotación a un adversario específico, pero señaló que los actores de amenazas en posesión de los archivos binarios del exploit probablemente intensificarán sus esfuerzos para usarlos o venderlos en el corto plazo.
«El exploit binario CVE-2026-21533 modifica una clave de configuración de servicio, reemplazándola con una clave controlada por un atacante, lo que podría permitir a los adversarios escalar privilegios para agregar un nuevo usuario al grupo de Administradores», dijo Adam Meyers, jefe de Operaciones Contra Adversarios en CrowdStrike, a The Hacker News en un comunicado enviado por correo electrónico.
Este desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar las seis vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 3 de marzo de 2026.
La actualización también coincide con el lanzamiento de certificados de arranque seguro actualizados por parte de Microsoft para reemplazar los certificados originales de 2011 que vencerán a fines de junio de 2026. Los nuevos certificados se instalarán mediante el proceso de actualización mensual regular de Windows sin ninguna acción adicional.
«Si un dispositivo no recibe los nuevos certificados de arranque seguro antes de que caduquen los certificados de 2011, la PC seguirá funcionando normalmente y el software existente seguirá ejecutándose», dijo el gigante tecnológico. «Sin embargo, el dispositivo entrará en un estado de seguridad degradado que limitará su capacidad para recibir futuras protecciones a nivel de arranque».
«A medida que se descubren nuevas vulnerabilidades a nivel de arranque, los sistemas afectados quedan cada vez más expuestos porque ya no pueden instalar nuevas mitigaciones. Con el tiempo, esto también puede generar problemas de compatibilidad, ya que los sistemas operativos, firmware, hardware o software dependientes del arranque seguro más nuevos pueden no cargarse».
Al mismo tiempo, la compañía dijo que también está fortaleciendo las protecciones predeterminadas en Windows a través de dos iniciativas de seguridad, el Modo de seguridad básico de Windows y la Transparencia y consentimiento del usuario. Las actualizaciones están bajo el ámbito de Secure Future Initiative y Windows Resiliency Initiative.
«Con el modo de seguridad básico de Windows, Windows avanzará hacia el funcionamiento con salvaguardas de integridad del tiempo de ejecución habilitadas de forma predeterminada», señaló. «Estas salvaguardas garantizan que sólo se permitan ejecutar aplicaciones, servicios y controladores debidamente firmados, lo que ayuda a proteger el sistema contra manipulaciones o cambios no autorizados».
La Transparencia y Consentimiento del Usuario, análoga al marco de Transparencia, Consentimiento y Control (TCC) de macOS de Apple, tiene como objetivo introducir un enfoque consistente para manejar las decisiones de seguridad. El sistema operativo avisará a los usuarios cuando las aplicaciones intenten acceder a recursos confidenciales, como archivos, la cámara o el micrófono, o cuando intenten instalar otro software no deseado.
«Estas indicaciones están diseñadas para ser claras y prácticas, y siempre tendrás la posibilidad de revisar y cambiar tus opciones más adelante», afirmó Logan Iyer, ingeniero distinguido de Microsoft. «También se espera que las aplicaciones y los agentes de IA cumplan con estándares de transparencia más altos, brindando tanto a los usuarios como a los administradores de TI una mejor visibilidad de sus comportamientos».