Hoy es martes de parches de Microsoft y, como cada segundo martes del mes, los equipos de TI tienen trabajo. Esta vez el volumen es considerable: 167 fallas corregidas, incluyendo 2 vulnerabilidades de día cero. Una ya estaba siendo explotada activamente. La otra ya era pública. Si administras sistemas Windows, Office o SharePoint en tu empresa, este artículo es para ti.
Este Patch Tuesday incluye ocho vulnerabilidades clasificadas como "Críticas": siete de ellas permiten la ejecución remota de código y una genera condiciones de denegación de servicio.
El desglose por tipo de vulnerabilidad que Microsoft corrigió este mes:
Importante: este conteo no incluye las correcciones de Mariner, Azure ni Bing que Microsoft publicó antes de este martes, ni las 80 fallas de Microsoft Edge y Chromium que fueron corregidas por Google.
Microsoft define como "zero-day" toda vulnerabilidad que ya estaba siendo explotada o que ya era de conocimiento público antes de existir un parche oficial. Este mes hay dos.
Esta es la vulnerabilidad más urgente del mes. Clasificada como spoofing por validación incorrecta de entradas en SharePoint Server (2016, 2019 y Subscription Edition), permite a un atacante no autenticado operar sobre la red. Un atacante que explotara esta falla podría acceder a información confidencial y modificar datos expuestos.
CISA la añadió al catálogo de Known Exploited Vulnerabilities el mismo día de publicación. Fecha límite de remediación: 28 de abril de 2026.
Microsoft no reveló detalles sobre cómo fue explotada ni quién lo reportó, lo que complica la cacería de amenazas en entornos sin monitoreo activo.
Permite a un atacante obtener privilegios de SYSTEM en el equipo afectado a través de la plataforma antimalware de Microsoft Defender. Aunque no hay explotación activa confirmada, el exploit conocido como "BlueHammer" fue publicado en GitHub el 3 de abril, lo que reduce considerablemente la ventana de seguridad.
La corrección se entrega automáticamente con la actualización de la plataforma antimalware (versión 4.18.26050.3011). Verificar manualmente en: Seguridad de Windows → Protección contra virus y amenazas → Actualizaciones de protección.
Este Patch Tuesday no llega en aislamiento. El primer trimestre de 2026 mostró 9 zero-days explotados activamente en solo tres meses:
El patrón es claro: los atacantes están explotando vulnerabilidades antes de que los parches estén disponibles, y lo hacen de forma consistente.
No es desconocimiento. En la mayoría de los casos es un problema de proceso: no hay un flujo claro para priorizar qué parches aplicar primero, no existe visibilidad sobre qué sistemas están expuestos, y el equipo de TI no tiene capacidad para gestionar el volumen mensual sin afectar la operación.
El día siguiente al Patch Tuesday se conoce como "Exploit Wednesday": los atacantes invierten ese tiempo en hacer ingeniería inversa de los parches para desarrollar exploits contra sistemas sin actualizar. La ventana entre "parche disponible" y "exploit funcional" se ha reducido considerablemente.
Tener un proceso de gestión de parches no es opcional. Es la diferencia entre controlar el riesgo y reaccionar a un incidente.
¿Quieres saber si tu infraestructura tiene sistemas expuestos a estas vulnerabilidades? Agenda un diagnóstico y te ayudamos a identificarlo con criterio, no con suposiciones.