Microsoft lanzó un parche fuera de ciclo para corregir una vulnerabilidad de gravedad elevada en Microsoft Office que ya está siendo aprovechada en ataques dirigidos. Identificada como CVE-2026-21509, la falla tiene una puntuación CVSS de 7.8/10 y se clasifica como una omisión en las protecciones de seguridad de Office que permite eludir los mecanismos diseñados para bloquear controles COM/OLE inseguros.
En términos sencillos, un atacante puede enviar un archivo de Office manipulado y, si la víctima lo abre, la vulnerabilidad puede permitir que se salten ciertas defensas que normalmente bloquean componentes OLE vulnerables. Microsoft ha señalado expresamente que la vista previa de archivos (Preview Pane) no sirve como vector de ataque para esta falla, por lo que la explotación exitosa depende de conseguir que el usuario abra el documento malicioso con la aplicación de Office.
La compañía ha publicado un aviso técnico con los detalles y las mitigaciones, y lo ha atribuido al trabajo conjunto del Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) y el equipo de seguridad del grupo de producto Office. Puedes consultar la guía oficial en la página de Microsoft para el CVE aquí: msrc.microsoft.com/update-guide/CVE-2026-21509.
Microsoft ha aplicado una corrección del lado del servicio para clientes que usan Office 2021 y versiones posteriores, lo que significa que esos usuarios reciben protección sin tener que instalar un parche local, aunque es necesario reiniciar las aplicaciones de Office para que los cambios surtan efecto. Para instalaciones más antiguas, como Office 2016 y 2019, Microsoft ha publicado builds concretos que deben instalarse para cerrar la brecha; quienes dependan de esas versiones deben revisar e instalar las actualizaciones correspondientes según su edición y arquitectura.
Si por alguna razón no es posible aplicar de inmediato las actualizaciones, Microsoft propone una mitigación basada en una modificación del Registro de Windows. Antes de tocar nada, la empresa recomienda hacer una copia de seguridad del registro; Microsoft explica el procedimiento para guardar y restaurar el Registro en esta página de soporte: Cómo respaldar y restaurar el Registro. La mitigación implica cerrar todas las aplicaciones de Office, abrir el Editor del Registro y crear una nueva clave de compatibilidad dentro de la rama correspondiente a la instalación de Office (las rutas varían si se trata de una instalación MSI o Click-to-Run y según si Windows es de 32 o 64 bits). Dentro de esa clave hay que añadir un valor REG_DWORD llamado "Compatibility Flags" con el valor hexadecimal 0x400; al terminar, cerrar el editor del Registro y volver a iniciar la aplicación de Office para que la medida tenga efecto.
Si quieres entender mejor por qué afecta a componentes OLE y qué son esas mitigaciones, hay recursos que explican el funcionamiento de OLE y por qué los controles COM/OLE son un vector frecuente de explotación: un buen punto de partida es la explicación técnica de mitigaciones OLE en plataformas de seguridad como Huntress: ¿Qué es OLE?.
Microsoft no ha hecho públicos detalles pormenorizados sobre cuántas campañas o qué alcance tienen los ataques que ya han utilizado esta vulnerabilidad, pero la gravedad y la existencia de explotaciones reales fueron suficientes para que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EEUU (CISA) incluyera el fallo en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esa inclusión obliga a las agencias federales civiles de Estados Unidos a aplicar las correcciones antes de una fecha límite establecida por CISA; el aviso oficial de la agencia sobre la inclusión está disponible aquí: CISA añade la vulnerabilidad al catálogo KEV, y el catálogo público se puede consultar en Known Exploited Vulnerabilities (KEV).
Para administradores y responsables de seguridad, la recomendación es doble: priorizar la instalación de las actualizaciones publicadas por Microsoft y, mientras se aplican, valorar la mitigación del Registro en entornos donde la actualización no sea factible inmediatamente. Además, conviene reforzar medidas preventivas tradicionales: filtrar adjuntos y contenidos activos en el correo, educar a usuarios para no abrir documentos de remitentes no verificados y monitorizar señales de actividad inusual en endpoints que puedan estar relacionados con procesos de Office.
En un ecosistema donde los documentos siguen siendo un vector predilecto para intrusiones, esta corrección recuerda que el riesgo persiste y que mantener el software actualizado sigue siendo la defensa más efectiva. Mantente atento a los comunicados oficiales y aplica las actualizaciones recomendadas tan pronto como sea posible.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...