Esta semana Microsoft publicó su actualización mensual de seguridad con una carga importante: han corregido un total de 59 vulnerabilidades repartidas por varios productos de la compañía, y entre ellas hay seis que, según la empresa, ya estaban siendo explotadas en entornos reales. La mayoría de los fallos se catalogan como de importancia alta, aunque también hay cinco clasificados como críticos y un par como moderados. Las correcciones incluyen problemas que permiten escalar privilegios, ejecutar código a distancia, suplantaciones, filtración de información y otros vectores que los atacantes suelen aprovechar.
Entre las vulnerabilidades que Microsoft destaca por estar activamente explotadas aparecen una serie de entradas con identificadores públicos. Por ejemplo, CVE-2026-21510 describe una falla en Windows Shell que rompe un mecanismo de protección y podría permitir a un atacante evadir controles de seguridad a través de la red; el detalle oficial se puede consultar en la guía de Microsoft: CVE-2026-21510. Otros fallos señalados incluyen CVE-2026-21513, relacionado con el motor MSHTML que renderiza contenido HTML en múltiples aplicaciones, y CVE-2026-21514, que afecta a Microsoft Word y se aprovecha mediante ficheros ofimáticos maliciosos. La lista completa de fallos y su clasificación está disponible en la recopilación de la actualización: nota de la actualización de febrero de 2026.
Los análisis de la comunidad de seguridad ayudan a entender cómo funcionan estas vulnerabilidades en la práctica. Desde Action1 explicaron que, en el caso de la falla en MSHTML, la vulnerabilidad permite diseñar archivos que sorteen los avisos de seguridad de Windows y ejecuten acciones peligrosas con un solo clic; más detalles y la perspectiva de su investigación aparecen en su artículo: comentario de Action1. Por su parte, investigadores de Tenable señalan similitudes entre varias de estas fallas —por ejemplo, entre las que afectan a Windows Shell, MSHTML y Office—, destacando que algunas pueden activarse a través de archivos HTML y otras únicamente mediante documentos ofimáticos.
Además, una de las correcciones (CVE-2026-21525) está vinculada a un cero‑día que ya había sido investigado por la comunidad: el servicio 0patch de ACROS Security publicó microparches mientras profundizaba en un problema relacionado en el mismo componente, y su reporte sobre esa investigación se puede leer en el blog de 0patch: entrada de 0patch. Estas piezas encajan en un patrón que solemos ver: un problema se descubre en contexto de otros fallos similares, y los cazadores de vulnerabilidades acaban encontrando varias rutas de explotación dentro del mismo subsistema.
No todas las vulnerabilidades son explotables remotamente sin interacción. Como recuerdan los expertos, hay fallos de elevación de privilegios locales —por ejemplo, CVE-2026-21519 y CVE-2026-21533— que requieren que el atacante ya tenga acceso al sistema afectado. Esa fase previa puede lograrse mediante un adjunto malicioso, explotación previa de RCE, o movimiento lateral dentro de una red comprometida; una vez alcanzado el sistema objetivo, las vulnerabilidades de escalado permiten alcanzar privilegios de SYSTEM y, en consecuencia, desactivar defensas, instalar malware persistente o extraer credenciales con potencial para comprometer dominios enteros, como explicó Kev Breen en declaraciones reproducidas por medios especializados.
La gravedad del paquete ha obligado a las autoridades a reaccionar: la CISA añadió las seis vulnerabilidades explotadas a su catálogo de Known Exploited Vulnerabilities (KEV), lo que implica que las agencias federales de Estados Unidos están obligadas a desplegar los parches antes de una fecha límite establecida (en este caso, el 3 de marzo de 2026). Esa inclusión suele traducirse en una presión adicional para que grandes organizaciones y administradores aceleren la aplicación de parches.
La actualización coincide también con otro movimiento que afectará al arranque seguro de muchos dispositivos: Microsoft está desplegando certificados de Secure Boot renovados para sustituir los originales de 2011 que caducan este verano. La compañía ha explicado que los nuevos certificados se instalarán por medio de las actualizaciones mensuales de Windows, sin intervención adicional por parte del usuario. Microsoft advierte, no obstante, que si un equipo no recibe los certificados renovados antes de la expiración, seguirá funcionando pero entrará en un estado con seguridad degradada, perdiendo la capacidad de recibir futuras mitigaciones a nivel de arranque y, con el tiempo, corriendo el riesgo de incompatibilidades: explicación de Microsoft.
En paralelo, Microsoft está cambiando cómo Windows protege y solicita consentimiento para acciones sensibles. Las iniciativas denominadas Windows Baseline Security Mode y User Transparency and Consent pretenden endurecer la política por defecto para que solo componentes firmados y verificados puedan ejecutarse en tiempo de ejecución y, al mismo tiempo, ofrecer avisos más claros cuando una aplicación o agente —incluyendo los impulsados por IA— intente acceder a recursos sensibles como archivos o cámara. La empresa presentó estas medidas como parte de sus esfuerzos de resiliencia y futuro seguro del sistema operativo; hay una exposición técnica en el blog oficial: detalle de Windows Baseline Security Mode y User Transparency and Consent.
¿Qué deberían hacer usuarios y administradores ahora mismo? En términos prácticos, la prioridad inmediata es probar e instalar los parches oficiales en todos los equipos y servidores compatibles, comenzando por los sistemas expuestos a Internet y por aquellos que soportan servicios críticos. Paralelamente conviene revisar mecanismos de detección y respuesta: registros de acceso, alertas de movimientos laterales y cualquier signo de escalado de privilegios. En entornos empresariales es recomendable coordinar la actualización con pruebas de compatibilidad y planes de contingencia para minimizar interrupciones. Por otro lado, verificar que los equipos reciben la actualización de certificados de Secure Boot y mantener políticas de control de ejecución, firmas de código y listas de permisos contribuirá a reducir la superficie de ataque a medio plazo.
Para quienes quieran consultar las fuentes primarias y profundizar en cada vulnerabilidad, la guía de Microsoft sobre la actualización de febrero, las notas de seguridad de Edge y las páginas de cada CVE contienen la información técnica y las mitigaciones recomendadas. Las referencias citadas en este artículo incluyen la nota de Microsoft sobre la actualización de febrero (MSRC), las correcciones posteriores para Edge (notas de seguridad de Edge), las fichas técnicas de las CVE mencionadas (CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21525, CVE-2026-21533), el análisis de Action1 (Action1), la entrada de 0patch (0patch) y el aviso de CISA sobre la inclusión en su catálogo KEV (CISA).
En seguridad no hay recetas mágicas: parchear a tiempo, instrumentar detección y mantener políticas mínimas de control de ejecución y buenas prácticas de acceso siguen siendo las mejores defensas frente a campañas que aprovechan fallas conocidas. Este parcheo de Microsoft es un recordatorio más de que el mantenimiento continuo y la atención a los avisos de seguridad son obligaciones que no conviene posponer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...