Hoy es martes de parches de Microsoft y, como cada segundo martes del mes, los equipos de TI tienen trabajo. Esta vez el volumen es considerable: 167 fallas corregidas, incluyendo 2 vulnerabilidades de día cero. Una ya estaba siendo explotada activamente. La otra ya era pública. Si administras sistemas Windows, Office o SharePoint en tu empresa, este artículo es para ti.
¿Qué trae este Microsoft Patch Tuesday en números?
Este Patch Tuesday incluye ocho vulnerabilidades clasificadas como "Críticas": siete de ellas permiten la ejecución remota de código y una genera condiciones de denegación de servicio.
El desglose por tipo de vulnerabilidad que Microsoft corrigió este mes:
- Elevación de privilegios
- Ejecución remota de código (RCE)
- Divulgación de información
- Omisión de características de seguridad
- Denegación de servicio (DoS)
- Suplantación de identidad (Spoofing)
Importante: este conteo no incluye las correcciones de Mariner, Azure ni Bing que Microsoft publicó antes de este martes, ni las 80 fallas de Microsoft Edge y Chromium que fueron corregidas por Google.
Los 2 Zero-Days que debes priorizar
Microsoft define como "zero-day" toda vulnerabilidad que ya estaba siendo explotada o que ya era de conocimiento público antes de existir un parche oficial. Este mes hay dos.
Zero-day 1: CVE-2026-32201 - Microsoft SharePoint Server (explotado activamente)
Esta es la vulnerabilidad más urgente del mes. Clasificada como spoofing por validación incorrecta de entradas en SharePoint Server (2016, 2019 y Subscription Edition), permite a un atacante no autenticado operar sobre la red. Un atacante que explotara esta falla podría acceder a información confidencial y modificar datos expuestos.
CISA la añadió al catálogo de Known Exploited Vulnerabilities el mismo día de publicación. Fecha límite de remediación: 28 de abril de 2026.
Microsoft no reveló detalles sobre cómo fue explotada ni quién lo reportó, lo que complica la cacería de amenazas en entornos sin monitoreo activo.
Zero-day 2: CVE-2026-33825 - Microsoft Defender (divulgado públicamente)
Permite a un atacante obtener privilegios de SYSTEM en el equipo afectado a través de la plataforma antimalware de Microsoft Defender. Aunque no hay explotación activa confirmada, el exploit conocido como "BlueHammer" fue publicado en GitHub el 3 de abril, lo que reduce considerablemente la ventana de seguridad.
La corrección se entrega automáticamente con la actualización de la plataforma antimalware (versión 4.18.26050.3011). Verificar manualmente en: Seguridad de Windows → Protección contra virus y amenazas → Actualizaciones de protección.
Tabla de 10 vulnerabilidades más importantes de abril 2026
Vulnerabilidades prioritarias — Patch Tuesday Abril 2026
167 CVEs · 14 de abril de 2026 · Microsoft MSRC / Tenable / CyberScoop / CISA KEV
| CVE | Componente | Tipo | CVSS | Estado | Prioridad |
|---|
Haz clic en cualquier fila para ver el detalle · Datos: MSRC, Tenable, CyberScoop (14 abr 2026)
tecnetone.com
Contexto: el patrón de 2026 hasta ahora
Este Patch Tuesday no llega en aislamiento. El primer trimestre de 2026 mostró 9 zero-days explotados activamente en solo tres meses:
- Enero 2026: 112 CVEs, incluyendo 3 zero-days activamente explotados y 8 vulnerabilidades críticas.
- Febrero 2026: 59 CVEs, con 6 zero-days activamente explotados en un ciclo inusualmente agresivo.
- Marzo 2026: 83 CVEs, con 3 vulnerabilidades críticas en Office.
El patrón es claro: los atacantes están explotando vulnerabilidades antes de que los parches estén disponibles, y lo hacen de forma consistente.
¿Por qué muchas organizaciones siguen sin parchear a tiempo?
No es desconocimiento. En la mayoría de los casos es un problema de proceso: no hay un flujo claro para priorizar qué parches aplicar primero, no existe visibilidad sobre qué sistemas están expuestos, y el equipo de TI no tiene capacidad para gestionar el volumen mensual sin afectar la operación.
El día siguiente al Patch Tuesday se conoce como "Exploit Wednesday": los atacantes invierten ese tiempo en hacer ingeniería inversa de los parches para desarrollar exploits contra sistemas sin actualizar. La ventana entre "parche disponible" y "exploit funcional" se ha reducido considerablemente.
Tener un proceso de gestión de parches no es opcional. Es la diferencia entre controlar el riesgo y reaccionar a un incidente.
¿Qué hacer hoy?
- Aplica el parche de SharePoint de inmediato. Es el zero-day con explotación activa confirmada. Deadline CISA: 28 de abril.
- Atiende el parche de Microsoft Defender. Verifica que esté en versión 4.18.26050.3011.
- Revisa el estado de tus certificados de Secure Boot. La fecha límite es el 26 de junio de 2026.
- Documenta la aplicación. Saber qué se parcheó, cuándo y en qué sistemas es parte de tu postura de seguridad.
¿Quieres saber si tu infraestructura tiene sistemas expuestos a estas vulnerabilidades? Agenda un diagnóstico y te ayudamos a identificarlo con criterio, no con suposiciones.