Primer Patch Tuesday de 2026: más de un centenar de vulnerabilidades en Windows, 3 zero-day y 8 críticas — actualice de inmediato
Las correcciones afectan a todo, desde Windows 10/11 hasta servidores, Office, .NET y WSUS.
Microsoft publicó el primer martes de parches regular de 2026 — un paquete de correcciones de seguridad obligatorias para Windows, Microsoft Office, ediciones de servidor y productos relacionados. En esta actualización la compañía cerró más de cien vulnerabilidades, entre las cuales hay tanto fallos que podrían haber permitido a atacantes ejecutar código arbitrario como errores que ya eran conocidos por actores maliciosos.
Lista de correcciones de enero incluye más de 110 identificadores CVE, entre ellos tres 0-day. Además, ocho vulnerabilidades fueron evaluadas por la compañía como de alto riesgo de explotación. La mayoría de los demás fallos estaban relacionados con la elevación de privilegios y la divulgación de información, así como con la posibilidad de ejecución remota de código.
El fallo más debatido de los corregidos es CVE-2026-20805, que afecta al Gestor de ventanas de escritorio. Esta vulnerabilidad pertenece a la categoría de divulgación de información y, según Microsoft, fue utilizada activamente por atacantes para obtener acceso a parte de la memoria, lo que podría facilitar una cadena de ataques posteriores.
Además de este, en la actualización de enero se incluyeron otros dos 0-day: uno relacionado con el mecanismo de certificado de arranque seguro y que tiene que ver con la expiración de certificados, lo que podría provocar problemas con el arranque del sistema a mediados de año, y el otro con la elevación de privilegios en Windows Digital Media. Ninguno de los dos fue explotado de forma masiva, pero Microsoft los calificó como «importantes».
Además de esos, en la actualización se detectaron otros fallos graves que vale la pena destacar:
- CVE-2026-20854 — ejecución remota de código en el subsistema de seguridad local (LSASS), lo que teóricamente permite a un atacante tomar el control del sistema si el ataque tiene éxito.
- CVE-2026-20952, CVE-2026-20953 — vulnerabilidades críticas en Microsoft Office, que permiten ejecutar código arbitrario mediante un documento especialmente diseñado.
- CVE-2026-20822 — error en el componente gráfico de Windows, relacionado con la elevación de privilegios.
- CVE-2026-20876 — fallo en el mecanismo de virtualización VBS Enclave, que teóricamente da al atacante la posibilidad de elevar sus privilegios dentro de un entorno aislado.
Estos son solo algunos de los CVE más destacados incluidos en el paquete de enero. Como antes, las correcciones afectan a una amplia variedad de productos: las versiones con soporte de Windows 11 y Windows 10, ediciones de servidor, componentes de Microsoft Office y .NET, herramientas de administración remota y utilidades de colaboración. Los resultados del martes de parches muestran que la lucha contra las vulnerabilidades nunca termina; incluso durante las festividades es importante mantenerse alerta.
El paquete ya está disponible a través de los mecanismos habituales de actualización, Windows Update, así como mediante catálogos de descargas y herramientas corporativas de gestión de parches. Expertos y administradores recomiendan encarecidamente instalarlo lo antes posible, especialmente en dispositivos conectados a la red, para reducir el riesgo de ataques exitosos contra sistemas desprotegidos.