Microsoft ha decidido cambiar el interruptor: a partir del parche de seguridad de mayo de 2026, las actualizaciones "hotpatch" estarán activadas por defecto en todos los dispositivos Windows elegibles gestionados mediante Microsoft Intune y la API de Microsoft Graph, siempre y cuando se gestionen a través de Windows Autopatch. Esta medida busca reducir la ventana de exposición que generan los ciclos tradicionales de actualización, en los que los equipos podían permanecer vulnerables durante varios días mientras esperaban reinicios o confirmaciones manuales.
¿Qué es exactamente hotpatch y por qué importa? Hotpatching permite aplicar ciertos parches de seguridad sin reiniciar el equipo, o bien minimizar la necesidad de interrupciones para el usuario, de forma que las correcciones críticas queden en vigor prácticamente desde el momento de la instalación. Para las organizaciones esto significa menos tiempo en que los dispositivos están expuestos a exploits conocidos y, según Microsoft, una reducción significativa del tiempo necesario para alcanzar altos niveles de cumplimiento —la empresa estima que el tiempo para llegar al 90% de dispositivos parcheados se reducirá a la mitad con este cambio.
Windows Autopatch, el servicio gestionado de Microsoft que automatiza la distribución de actualizaciones para Windows y Microsoft 365, será la vía por la que se desplegarán estas actualizaciones por defecto. Windows Autopatch se lanzó públicamente en 2022 y, según las cifras oficiales, ya gestiona más de 10 millones de dispositivos en producción, aplicando correcciones de seguridad que no requieren siempre un reinicio inmediato. Puedes revisar la explicación técnica y la hoja de ruta del servicio en la documentación oficial de Microsoft sobre Windows Autopatch en Microsoft Learn.
El cambio no llega sin controles: Microsoft habilitará opciones administrativas que permitirán desactivar hotpatch a nivel de tenant o bien activarlo o desactivarlo para dispositivos concretos. Esas opciones estarán disponibles en el centro de administración de Intune a partir del 1 de abril de 2026, y hasta el 11 de mayo de 2026 las organizaciones tendrán margen para revisar su estado y optar por mantenerse fuera del comportamiento por defecto antes de que comiencen los despliegues con hotpatch.
Si quieres comprobar si tu parque de dispositivos está listo para recibir hotpatch, Microsoft ha publicado un informe en Intune llamado "Hotpatch quality updates report" que permite verificar si los equipos han instalado la actualización base de abril de 2026 y cumplen los requisitos necesarios. Los requisitos previos y las condiciones que deben cumplirse están detallados en la documentación técnica de Windows Autopatch: consulta los prerrequisitos aquí.
Para las organizaciones que prefieran mantener el modelo anterior por motivos de compatibilidad o pruebas, Microsoft ha explicado que la configuración pertinente se encuentra en Microsoft Intune, bajo la administración del tenant en Windows Autopatch; desde ahí se podrá alternar la opción conocida como "When available, apply without restarting the device (hotpatch)" a Allow o Block según convenga. Esta flexibilidad pretende dar tiempo a los equipos de IT para validar aplicaciones críticas, flujos o integraciones que pudieran verse afectadas por el nuevo comportamiento.
¿Qué consecuencias prácticas tiene esto para los departamentos de TI? En primer lugar, reduce la carga operativa asociada a forzar reinicios y a la gestión manual de excepciones, lo que puede traducirse en menos trabajo reactivo tras cada Patch Tuesday. En segundo lugar, mejora la postura de seguridad general al acortar la ventana en la que una vulnerabilidad corregida puede ser explotada en entornos sin parchear. Eso sí, implica que los equipos de pruebas y compatibilidad consideren con antelación cómo se comportarán las aplicaciones de negocio ante actualizaciones aplicadas sin reinicio y que verifiquen los requisitos técnicos descritos por Microsoft.
La comunicación oficial del cambio y los detalles de la implementación se pueden revisar en los anuncios de Microsoft en su Message Center y en el blog de Windows IT Pro. El aviso en el Message Center que especifica plazos y efectos está disponible en Microsoft Learn - Windows Message Center, y el análisis del equipo de producto sobre la decisión de activar hotpatch por defecto se publica en el blog de Microsoft Tech Community en Windows IT Pro Blog.
La aproximación de Microsoft responde a una tendencia de la industria que prioriza la reducción del tiempo entre la disponibilidad de una corrección y su efectividad real en los endpoints. En los últimos años los equipos de seguridad han mostrado preocupación por las ventanas de reinicio y por la fricción que generan las interrupciones para los usuarios; habilitar un mecanismo seguro para aplicar parches sin reinicio resuelve parte de ese problema, siempre y cuando se cumplan los requisitos técnicos y se haga una gestión responsable del cambio.
Para los administradores que aún no están listos, la recomendación práctica es sencilla: validar la compatibilidad de las aplicaciones críticas, confirmar el estado de los dispositivos con el informe de hotpatch en Intune y decidir con tiempo si se opta por bloquear el hotpatch por tenant hasta que se completen las pruebas. Microsoft ha dejado un margen hasta el 11 de mayo de 2026 relativo a la actualización base de abril, por lo que aprovechar ese periodo para preparar, probar y documentar el comportamiento es una buena práctica.
En definitiva, la activación por defecto de las actualizaciones hotpatch pretende acelerar la defensa de las organizaciones frente a vulnerabilidades explotables sin que eso implique una pérdida de control por parte de los administradores. Mantenerse informado a través de las fuentes oficiales y planificar pruebas coordinadas con los equipos de desarrollo y soporte será clave para sacar partido a esta funcionalidad sin sorpresas.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...