Si administras un entorno Windows Server tienes un motivo más para mirar con cuidado las actualizaciones de abril de 2026: algunos controladores de dominio están entrando en bucles de reinicio tras aplicar el parche de seguridad de este mes, y la causa aparente es un fallo en el proceso Local Security Authority Subsystem Service (LSASS) durante el arranque.
LSASS es el componente del sistema responsable de validar credenciales y manejar la seguridad a nivel del dominio. Cuando ese servicio falla muy temprano en el proceso de inicio, el servidor puede reiniciarse de forma repetida antes de que los servicios de directorio queden operativos, lo que deja a los equipos de la red sin capacidad de autenticación y puede provocar que el dominio quede inservible hasta que se solucione el problema. El problema, según Microsoft, afecta sobre todo a controladores de dominio que no son Catálogo Global y que operan en entornos que usan Privileged Access Management (PAM).
Microsoft identifica la actualización afectada con la etiqueta de abril de 2026 (KB5082063) y señala que las versiones afectadas incluyen Windows Server 2016, 2019, 2022, 23H2 y Server 2025. La compañía ha publicado información en su panel de estado de lanzamiento y recomienda a los administradores contactar con su soporte comercial para recibir indicaciones y medidas paliativas que se puedan aplicar incluso si la actualización ya fue instalada. Puedes consultar la información oficial sobre el estado de las versiones en el portal de Release Health de Microsoft: https://learn.microsoft.com/en-us/windows/release-health/, y revisar la guía de actualizaciones en el Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide.
Importa destacar que este contratiempo no es general para equipos personales, sino que está circunscrito a entornos gestionados que utilizan Privileged Access Management para Active Directory. Si quieres profundizar en qué es PAM y cómo altera el flujo de autenticación en Active Directory, Microsoft dispone de documentación técnica sobre el tema: Privileged Access Management para Active Directory.
Además del problema de reinicios, Microsoft ha advertido de otros efectos colaterales asociados a la misma actualización: en algunos servidores con Windows Server 2025 la instalación del parche podría fallar, y en ciertos equipos puede aparecer una solicitud de clave de recuperación de BitLocker tras la actualización. Si tu organización emplea BitLocker es recomendable tener a mano las claves de recuperación y revisar las guías oficiales sobre su gestión: Guía de recuperación de BitLocker.
Es comprensible la preocupación: en los últimos años Microsoft ha tenido que lidiar varias veces con problemas relacionados con actualizaciones que afectaron a controladores de dominio y a la autenticación en Windows Server. En 2024 y 2025 ya surgieron incidencias que obligaron a emitir correcciones fuera de ciclo o a publicar advertencias y soluciones temporales. Esta recurrencia subraya lo crítico que es planificar cuidadosamente la aplicación de parches en infraestructuras de directorio activo.
¿Qué pueden hacer los administradores mientras Microsoft publica una solución definitiva? Lo más prudente es actuar con cautela: evitar reiniciar o actualizar todos los controladores de dominio a la vez, priorizar la prueba de parches en entornos de preproducción, y mantener procedimientos de recuperación identificados (snapshots de máquinas virtuales, backups del estado del sistema, documentación de claves de BitLocker). Si ya te has encontrado con el problema, Microsoft insta a abrir un caso con su soporte empresarial para obtener instrucciones específicas y mitigaciones aplicables tras la instalación: Contactar con Microsoft Support for Business.
También conviene monitorizar los registros del sistema en busca de señales de fallos de LSASS y reinicios recurrentes, y aislar temporalmente los controladores afectados para evitar que impidan la operación del dominio. Evitar extrapolar la incidencia a estaciones de trabajo no gestionadas por un equipo de TI puede ahorrar alarmas innecesarias: la afectación concentrada en entornos con PAM y en controladores no‑GC limita el alcance del problema fuera de infraestructuras corporativas.
La situación es un recordatorio de que, en infraestructuras críticas como Active Directory, la gestión de parches debe combinar rapidez —para cerrar vectores de vulnerabilidad— con prudencia, pruebas y planes de reversión. Mantente atento a las actualizaciones del panel de estado y de seguridad de Microsoft y, si tienes responsabilidades sobre dominios en producción, prioriza la comunicación con los proveedores de soporte para minimizar el impacto operacional.
Si quieres que revise la comunicación interna que vas a enviar a tu equipo de TI o que te ayude a redactar un checklist de verificación previo a aplicar este parche en tus servidores, dímelo y lo preparo.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...