Microsoft Patch Tuesday Marzo 2026: 79 Vulnerabilidades Corregidas

Este es el primer Microsoft Patch Tuesday en seis meses sin vulnerabilidades activamente explotadas al momento del lanzamiento. Eso no es motivo para bajar la guardia, significa que el reloj corre a favor de los equipos de seguridad, pero ese margen se cierra en cuanto los detalles técnicos circulan públicamente.

Microsoft liberó ayer su actualización mensual de seguridad con correcciones para 79 vulnerabilidades, 8 clasificadas como críticas y 71 como importantes. De ese total, dos ya eran de conocimiento público antes de que existiera parche disponible.

El margen de reacción no lo define cuándo se publica el parche. Lo define cuándo tu equipo lo aplica.

Los dos zero-days de Marzo 2026: Qué permiten y qué hacer

CVE-2026-21262 — SQL Server | Escalada de privilegios | CVSS 8.8 

Un fallo de control de acceso incorrecto en SQL Server permite a un atacante con acceso de red elevar sus privilegios a nivel SQLAdmin. Fue divulgado públicamente antes de que Microsoft publicara el parche, lo que acorta el tiempo de reacción disponible.

En entornos donde SQL Server maneja datos financieros, de clientes o sujetos a cumplimiento normativo (PCI-DSS, DORA, NOM-151) un atacante puede pasar de usuario legítimo a control total de la base de datos sin necesidad de exploits complejos.

La combinación de CVSS 8.8 y divulgación pública convierte este fallo en prioridad uno del mes. Antes de aplicar el parche, el criterio de evaluación debe incluir: inventario de instancias SQL Server expuestas a red, validación de cuentas con acceso de red habilitado, y revisión de logs de autenticación de los últimos 30 días. El parche resuelve el fallo. La visibilidad previa determina si ya fue explotado.

CVE-2026-26127 — .NET 9.0 y 10.0 | Denegación de servicio | CVSS 7.5 

Una lectura fuera de límites en .NET permite a un atacante no autenticado interrumpir servicios de red. Afecta Windows, macOS y Linux. El impacto no es de robo de datos sino de disponibilidad: aplicaciones críticas basadas en .NET pueden dejar de responder sin que el atacante necesite credenciales previas.

Para equipos con SLAs de disponibilidad documentados o que operan bajo marcos como DORA o ISO 22301, este fallo es riesgo operativo concreto, no solo técnico. La pregunta no es si parchear, sino qué servicios dependen de .NET y cuál es su criticidad para el negocio. Eso define si este CVE entra en el sprint de esta semana o en el siguiente.

Las tres vulnerabilidades críticas: Mayor superficie de exposición del mes 

1. CVE-2026-26144 — Microsoft Excel + Copilot | Divulgación de información | Crítico 

Este es el fallo que más atención merece este mes, y no por su clasificación técnica sino por su mecanismo. Un atacante que explote esta vulnerabilidad puede hacer que el agente Copilot exfiltre datos del sistema objetivo a través de tráfico de red no autorizado, en un escenario sin ningún clic del usuario.

⚠️ Traducido a operación: un archivo de Excel con contenido malicioso puede hacer que Copilot filtre información sensible hacia un destino externo sin que el usuario realice ninguna acción. No se requiere interacción. No hay alerta visible. El vector existe hoy en organizaciones que ya adoptaron Microsoft 365 Copilot.

2. CVE-2026-26113 y CVE-2026-26110 — Microsoft Office | Ejecución remota de código | CVSS 8.4

Ambas vulnerabilidades permiten a un atacante ejecutar código arbitrario en el contexto del usuario. El vector de ataque incluye el Panel de Vista Previa de Office (no se requiere abrir el archivo). La complejidad de ataque es baja y no se requieren privilegios previos.

CVE-2026-26113 se origina en una desreferencia de puntero no confiable. CVE-2026-26110 implica confusión de tipos. En ambos casos, el punto de entrada es el flujo de trabajo cotidiano de cualquier trabajador con acceso a correo corporativo.

3. Escalada de privilegios: El patrón dominante de este Patch Tuesday

Las vulnerabilidades de escalada de privilegios (EoP — Elevation of Privilege, elevación de acceso no autorizado) representaron el 55.4% del total de fallos corregidos este mes. Esto sigue un patrón consolidado: los atacantes no buscan acceso inicial con exploits sofisticados (buscan elevar privilegios una vez dentro).

Los fallos más relevantes en esta categoría:

1. CVE-2026-26132 y CVE-2026-24289 (Kernel de Windows): un fallo de use-after-free permite a un atacante autenticado obtener privilegios SYSTEM. Ambas calificadas como de explotación más probable.
   
   
2. CVE-2026-24294 (SMB Server): escalada a SYSTEM mediante explotación en infraestructura de red interna. SMB es el protocolo de uso compartido de archivos e impresoras en redes Windows.
   
   
3. CVE-2026-25187 (Winlogon) y CVE-2026-24291 (Windows Accessibility): escalada a SYSTEM con autenticación previa.

Criterio de priorización para equipos de TI y seguridad

Un proceso de priorización basado en evidencia considera tres factores con peso diferenciado:

1. Superficie de exposición — ¿Cuántos activos del inventario están afectados? ¿Están expuestos a red externa, interna o ambas?

2. Privilegio obtenido — ¿Qué nivel de acceso consigue el atacante si tiene éxito? Un CVE que escala a SYSTEM en un servidor de producción tiene prioridad sobre uno que escala a usuario local en una estación de trabajo.

3. Probabilidad evaluada — Microsoft clasifica cada CVE con su estimación de explotación. 'Explotación más probable' no es alarmismo: es el criterio técnico del fabricante sobre la madurez del exploit en la comunidad atacante.

Con ese marco, el orden de atención este mes es::

1. CVE-2026-21262 (SQL Server) — divulgado públicamente, impacto directo en compliance y datos.
   
   
2. CVE-2026-26144 (Excel + Copilot) — vector activo en entornos Microsoft 365, sin clic del usuario.
   
   
3. CVE-2026-26113 y CVE-2026-26110 (Office RCE) — panel de vista previa como vector, sin abrir archivo.
   
   
4. CVE-2026-26132 y CVE-2026-24289 (Kernel) — escalada a SYSTEM, explotación calificada como probable.
   
   
5. CVE-2026-24294 (SMB Server) — escalada a SYSTEM en infraestructura de red.