En TecnetOne damos seguimiento puntual a cada ciclo de actualizaciones de Microsoft, y el Patch Tuesday de julio de 2026 rompe con todo lo que veníamos observando. Este mes Microsoft corrigió 570 vulnerabilidades en una sola entrega, la cifra más alta desde que el programa existe, e incluyó tres vulnerabilidades de día cero: dos que ya estaban siendo explotadas en ataques reales y una divulgada públicamente antes de que existiera un parche oficial.
Dentro del paquete se abordaron 59 vulnerabilidades clasificadas como críticas, de las cuales 48 permiten ejecución remota de código, 9 corresponden a elevación de privilegios, una a evasión de funciones de seguridad y una más a suplantación de identidad. Para dimensionar, el ciclo de junio había corregido alrededor de 200 fallas y ya se consideraba un récord.
Estas son las fallas solucionadas según su categoría:
- 254 vulnerabilidades de elevación de privilegios
- 145 vulnerabilidades de ejecución remota de código
- 102 vulnerabilidades de divulgación de información
- 35 vulnerabilidades de denegación de servicio
- 17 vulnerabilidades de evasión de funciones de seguridad (bypass)
- 16 vulnerabilidades de suplantación de identidad
Conviene aclarar que este recuento incluye únicamente las vulnerabilidades publicadas por Microsoft en este patch tuesday. Quedan fuera las correcciones aplicadas antes en el mes a componentes como Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge para Android y el servicio de aprovisionamiento de Microsoft Entra. Tampoco se contabilizan las 468 fallas de Microsoft Edge y Chromium que Google corrigió por separado durante julio.
¿Por qué este Patch Tuesday trae 570 vulnerabilidades y no las 60 de costumbre?
La primera reacción ante una cifra como esta suele ser preguntarse si Windows se volvió repentinamente más inseguro, y la respuesta corta es que no. Microsoft advirtió semanas atrás que sus ciclos mensuales iban a crecer de forma sostenida porque comenzó a utilizar un sistema de descubrimiento de vulnerabilidades asistido por inteligencia artificial, capaz de revisar el código base de Windows a una escala que antes resultaba imposible para equipos humanos.
Lo que estamos viendo, es un proceso de limpieza acelerado: fallas que llevaban años latentes en el código están saliendo a la superficie por lotes, y Microsoft las cierra antes de que un atacante las encuentre.
Visto así, un número alto no es necesariamente una mala noticia. El problema real es operativo, porque los equipos de TI enfrentan ahora matrices de prueba mucho más grandes, ventanas de despliegue más apretadas y una necesidad mucho más fina de priorizar qué se parchea primero.
La progresión lo dice todo: el ciclo de abril corrigió 167 vulnerabilidades y dos zero-days, junio rondó las 200 y julio triplicó esa marca en tres meses. Si la tendencia se mantiene, la gestión de parches deja de ser una tarea mensual de mantenimiento y pasa a ser un proceso continuo que exige inventario actualizado, priorización basada en riesgo real y validación en anillos de prueba antes de tocar producción.
Vulnerabilidades zero-day: Dos ya explotadas en ataques
CVE-2026-56155: elevación de privilegios en Active Directory Federation Services (AD FS)
Esta vulnerabilidad afecta a AD FS, el componente que muchas organizaciones utilizan para federar identidades y habilitar el inicio de sesión único entre su directorio local y los servicios en la nube. El problema tiene su origen en un control de acceso demasiado permisivo, lo que permite que un atacante ya autenticado en el sistema eleve sus privilegios de forma local hasta obtener permisos administrativos.
El detalle que conviene no pasar por alto es quién reportó la falla: el equipo de Detección y Respuesta de Microsoft, es decir, su unidad de respuesta a incidentes. Que el hallazgo venga de ahí sugiere con bastante claridad que la vulnerabilidad se descubrió mientras se investigaban ataques en curso.
Microsoft no ha publicado detalles sobre cómo se explotó, pero si tu empresa opera AD FS en modalidad local, este parche debe tratarse como despliegue de emergencia y no como parte del ciclo mensual habitual.
CVE-2026-56164: elevación de privilegios en Microsoft SharePoint Server
El segundo zero-day explotado activamente afecta a SharePoint Server y es más peligroso de lo que su etiqueta de severidad sugiere. Microsoft lo clasificó como moderado, aunque la descripción técnica es contundente: existe una función crítica que no valida autenticación, lo que permite que un atacante no autorizado eleve privilegios a través de la red.
La combinación de explotación activa, ausencia de autenticación previa y un producto que suele estar expuesto hacia internet convierte a este CVE en la prioridad número uno del mes para cualquier organización con granjas de SharePoint locales.
Históricamente, este tipo de fallas se han encadenado con vulnerabilidades de ejecución remota de código para lograr el control total del servidor, de modo que la severidad aislada engaña.
Como mitigación temporal, mientras se completa el despliegue del parche, Microsoft recomienda habilitar la Interfaz de Análisis Antimalware (AMSI) en el servidor y configurar el modo de análisis del cuerpo de las solicitudes en "completo".
CVE-2026-50661: evasión de la función de seguridad de BitLocker
La tercera vulnerabilidad de día cero no ha sido explotada hasta ahora, pero se hizo pública antes de que Microsoft liberara la corrección, lo que la coloca en la misma categoría de urgencia. Se trata de una falla que permite evadir el cifrado de dispositivo de BitLocker y acceder a los datos protegidos en la unidad de almacenamiento del sistema.
La condición para explotarla es el acceso físico al equipo, algo que en un servidor de centro de datos parece remoto, aunque en una laptop corporativa perdida, robada o dejada en un hotel es un escenario perfectamente cotidiano.
Este es el segundo bypass (evasión) de BitLocker que aparece en lo que va del año, después del caso divulgado a mediados de 2026, y la lección se repite: el cifrado de disco protege muy bien contra el acceso casual, pero no sustituye a los controles de gestión de dispositivos ni al borrado remoto cuando un equipo desaparece.
Si tu empresa administra dispositivos móvil, este parche debe llegar acompañado de una revisión de qué dispositivos están reportando correctamente su estado de cifrado y cuáles llevan semanas sin comunicarse con la consola de administración.
Actualizaciones acumulativas y cambios que pueden romper aplicaciones
Las correcciones de este mes llegan a través de las actualizaciones acumulativas KB5101650 para Windows 11 en sus versiones 25H2 y 24H2, KB5099414 para la versión 23H2, y KB5099539 como actualización de seguridad extendida para Windows 10.
Esta última está disponible únicamente para equipos inscritos en el programa ESU (Extended Security Updates, el esquema de soporte pagado tras el fin de vida del sistema) o que ejecuten Windows 10 Enterprise LTSC, la edición de canal de mantenimiento a largo plazo.
Más allá del volumen de parches, hay tres cambios de comportamiento en esta entrega que conviene revisar antes de desplegar a producción, porque tienen potencial de romper aplicaciones en funcionamiento:
- Refuerzo en el registro de transportes TDI: las aplicaciones que utilicen sockets sobre transportes TDI (Transport Driver Interface, la capa de red heredada de Windows) de terceros no registrados pueden dejar de funcionar tras instalar la actualización. Los transportes registrados no se ven afectados.
- Escritorio Remoto y huellas de certificado: se añade soporte para huellas digitales SHA-2 en editores de confianza de RDP, y el soporte para SHA-1 queda únicamente por compatibilidad hacia atrás, con retiro previsto a futuro. La recomendación es migrar a SHA-256 o superior cuanto antes.
- Transición de certificados de Arranque Seguro: continúa el reemplazo de los certificados que empezaron a caducar durante 2026. Los equipos que aún no reciban los nuevos certificados seguirán arrancando y actualizándose con normalidad, aunque conviene monitorear el estado de Secure Boot en lugar de asumir que toda la flota completó la transición.
Si tu operación depende de software de red especializado, aplicaciones COM heredadas (componentes de Windows que permiten a distintos programas comunicarse entre sí), imágenes personalizadas de Windows o flujos críticos de escritorio remoto, un despliegue escalonado con anillo piloto sigue siendo la forma más sensata de proceder.
Actualizaciones de seguridad del Patch Tuesday de julio de 2026
Dado el volumen de este ciclo, a continuación resumimos las vulnerabilidades de mayor prioridad, entendiendo como tales los tres zero-days y una selección de las fallas críticas que afectan a componentes expuestos a red o de uso masivo en infraestructura empresarial:
| Etiqueta | Identificación CVE | Título CVE | Gravedad |
|---|---|---|---|
| Active Directory Federation Services (AD FS) | CVE-2026-56155 | Vulnerabilidad de elevación de privilegios en Active Directory Federation Services (zero-day explotado) | Importante |
| Microsoft Office SharePoint | CVE-2026-56164 | Vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server (zero-day explotado) | Moderado |
| Windows BitLocker | CVE-2026-50661 | Vulnerabilidad de omisión de la función de seguridad de BitLocker (zero-day divulgado) | Importante |
| Microsoft Office SharePoint | CVE-2026-58644 | Vulnerabilidad de ejecución remota de código en Microsoft SharePoint | Crítico |
| Microsoft Office SharePoint | CVE-2026-50522 | Vulnerabilidad de ejecución remota de código en Microsoft SharePoint | Crítico |
| Servidor DHCP de Windows | CVE-2026-50518 | Vulnerabilidad de ejecución remota de código en el servidor DHCP de Windows | Crítico |
| Servidor DHCP de Windows | CVE-2026-50370 | Vulnerabilidad de ejecución remota de código en el servicio del servidor DHCP | Crítico |
| Cliente DHCP de Windows | CVE-2026-54128 | Vulnerabilidad de ejecución remota de código en el cliente DHCP de Windows | Crítico |
| Servicios de dominio de Active Directory | CVE-2026-49164 | Vulnerabilidad de ejecución remota de código en los Servicios de dominio de Active Directory | Crítico |
| Servicios de certificados de Active Directory (AD CS) | CVE-2026-54121 | Vulnerabilidad de elevación de privilegios en los Servicios de certificados de Active Directory | Crítico |
| Microsoft Exchange Server | CVE-2026-55008 | Vulnerabilidad de suplantación de identidad en Microsoft Exchange Server | Crítico |
| Servidor SQL | CVE-2026-54118 | Vulnerabilidad de ejecución remota de código en Microsoft SQL Server | Crítico |
| Servidor SQL | CVE-2026-54117 | Vulnerabilidad de ejecución remota de código en Microsoft SQL Server | Crítico |
| Cliente de Escritorio Remoto | CVE-2026-50474 | Vulnerabilidad de ejecución remota de código en el cliente de Escritorio Remoto | Crítico |
| Windows Hyper-V | CVE-2026-50680 | Vulnerabilidad de elevación de privilegios en Windows Hyper-V | Crítico |
| Windows Hyper-V | CVE-2026-54127 | Vulnerabilidad de elevación de privilegios en Windows Hyper-V | Crítico |
| Microsoft Defender | CVE-2026-55012 | Vulnerabilidad de ejecución remota de código en Microsoft Defender | Crítico |
| Microsoft Defender | CVE-2026-55011 | Vulnerabilidad de ejecución remota de código en Microsoft Defender | Crítico |
| Microsoft Copilot | CVE-2026-48561 | Vulnerabilidad de ejecución remota de código en Microsoft Copilot | Crítico |
| Microsoft Office | CVE-2026-55129 | Vulnerabilidad de ejecución remota de código en Microsoft Office | Crítico |
| Microsoft Office Word | CVE-2026-55127 | Vulnerabilidad de ejecución remota de código en Microsoft Word | Crítico |
| Microsoft Office PowerPoint | CVE-2026-55120 | Vulnerabilidad de ejecución remota de código en Microsoft PowerPoint | Crítico |
| Windows Media Foundation | CVE-2026-56189 | Vulnerabilidad de ejecución remota de código en Windows Media Foundation | Crítico |
| Windows GDI+ | CVE-2026-49796 | Vulnerabilidad de ejecución remota de código en Windows GDI+ | Crítico |
| Windows DirectX | CVE-2026-50382 | Vulnerabilidad de ejecución remota de código en el kernel de gráficos DirectX | Crítico |
| Controlador RMCAST de Windows | CVE-2026-54995 | Vulnerabilidad de ejecución remota de código en el controlador de transporte multidifusión confiable (RMCAST) | Crítico |
| Microsoft Dynamics NAV | CVE-2026-55944 | Vulnerabilidad de ejecución remota de código en Dynamics NAV y Dynamics 365 Business Central (local) | Crítico |
| Centro de administración de Windows | CVE-2026-58631 | Vulnerabilidad de ejecución remota de código en el Centro de administración de Windows | Importante |
El listado completo de las 570 vulnerabilidades, con la descripción de cada falla y los sistemas afectados, está disponible en la Security Update Guide de Microsoft, la fuente oficial donde Microsot publica y actualiza cada boletín.
Cómo priorizar el despliegue de parches
Con un ciclo de este tamaño, aplicar todo al mismo tiempo no es realista ni recomendable, así que la prioridad se define por exposición y por evidencia de explotación:
- Despliegue inmediato, sin esperar ventana de mantenimiento: servidores de SharePoint locales y servidores de AD FS. Son los dos zero-days explotados y ambos afectan infraestructura que suele estar publicada hacia internet.
- Dentro de las primeras 48 horas: las fallas críticas de ejecución remota de código en SharePoint, servidor DHCP, Active Directory, Exchange y SQL Server, junto con las de Hyper-V si operas virtualización sobre Windows.
- Ciclo normal con validación previa: el resto de las correcciones de Office, kernel y componentes de escritorio, desplegadas en anillos para detectar regresiones en aplicaciones COM heredadas o software de red de terceros.
- Verificación posterior: confirmar que los equipos con BitLocker reportan su estado de cifrado y que los certificados de Arranque Seguro se están actualizando en toda la flota.
Cuando acompañamos un ciclo de este tamaño, en TecnetOne no damos por cerrado el despliegue hasta que un análisis de vulnerabilidades posterior confirma que el parche llegó donde debía. Es la única forma de detectar los equipos rezagados por fallas de instalación, algo que ocurre con más frecuencia de la que se admite en entregas de este volumen.
