El martes de parches de mayo 2026 corrige 120 vulnerabilidades en productos de Microsoft, sin días cero divulgados. La actualización mensual se publicó este 12 de mayo y abarca Windows, Office, SharePoint, SQL Server, Azure y M365 Copilot.
El Patch Tuesday es la entrega mensual de parches de seguridad que Microsoft libera el segundo martes de cada mes. Concentra las correcciones de errores explotables en un solo ciclo, lo que permite a los equipos de TI planificar el despliegue con previsibilidad. Para un CTO, CISO o director de TI en México, este día marca el inicio de la ventana de remediación que define la postura de riesgo del mes.
De las 120 fallas corregidas, 17 son críticas y 14 de ellas permiten ejecución remota de código. La categoría más numerosa es la elevación de privilegios, con 61 casos. Este análisis te entrega el desglose por tipo, las CVEs prioritarias con tabla de referencia y los criterios que aplicamos en TecnetOne para decidir qué parchar primero.
Microsoft distribuyó las 120 correcciones en seis categorías. La distribución muestra dónde concentró el equipo de seguridad sus esfuerzos este mes.
El desglose por tipo se reparte así: 61 vulnerabilidades de elevación de privilegios, 31 de ejecución remota de código, 14 de divulgación de información, 13 de suplantación, 8 de denegación de servicio y 6 de evasión de funciones de seguridad.
La concentración en elevación de privilegios significa que muchos vectores requieren acceso previo al sistema. Las 31 de ejecución remota representan el mayor riesgo para perímetros expuestos, ya que muchas pueden explotarse sin credenciales.
De las 17 vulnerabilidades críticas, 14 son de ejecución remota de código, 2 de elevación de privilegios y 1 de divulgación de información. Este patrón confirma que la superficie de ataque crítica de mayo se concentra en errores explotables a distancia.
El conteo de Microsoft excluye las correcciones publicadas a principios de mayo para Mariner, Azure, Copilot, Teams y Partner Center. Tampoco incluye los 131 parches de Microsoft Edge basados en Chromium que liberó Google este mes.
El alcance del análisis se limita a los boletines del día 12. Para una organización con servicios en la nube y endpoints distribuidos, el universo real de parches a evaluar es mayor.
Tres CVEs sobresalen por su perfil de riesgo y por el contexto de despliegue habitual en empresas mexicanas. Las RCE explotables sin interacción significativa del usuario son las que más rápido escalan a una brecha de datos, con consecuencias directas para el cumplimiento normativo de la empresa. Su priorización es la primera decisión del ciclo.
Esta falla se explota al abrir un archivo EMF (Enhanced Metafile, formato de imagen vectorial de Windows) malicioso con Microsoft Paint. El atacante puede ejecutar código en el sistema afectado. Impacta a estaciones de trabajo y entornos donde los usuarios procesan imágenes desde fuentes externas o recibos en correo.
Un atacante autenticado puede lanzar un ataque de red que ejecuta código remoto en el servidor de SharePoint. La plataforma suele alojar documentos sensibles y conectarse con flujos de aprobación interna. Una explotación exitosa puede comprometer la cadena de datos compartidos entre áreas y filtrar información confidencial.
Un servidor DNS bajo control del atacante puede enviar una respuesta DNS especialmente diseñada. El cliente la procesa de forma incorrecta y corrompe memoria, lo que habilita ejecución remota de código. Cualquier estación o servidor que consulte un DNS comprometido queda expuesto a esta cadena de ataque.
Microsoft también corrigió varias ejecuciones remotas en Office, Word y Excel calificadas como críticas. El detalle relevante es que se pueden disparar desde el panel de vista previa del cliente de correo. El usuario no necesita abrir el archivo de forma explícita para que el código malicioso se ejecute. Esto eleva el riesgo en operaciones con alto volumen de adjuntos y reduce la efectividad de los controles basados en concientización.
La siguiente tabla concentra las 17 vulnerabilidades calificadas como críticas por Microsoft, junto con 5 vulnerabilidades importantes de ejecución remota de código en productos de uso transversal (Office, SQL Server, TCP/IP, mensajería y data tooling).
Es la lista que tu equipo de TI debe priorizar antes de pasar al resto del catálogo. Para empresas reguladas por la LFPDPPP en México, PCI-DSS o la CNBV, esta priorización también es insumo directo para la evidencia de control que los auditores requieren cada año.
| # | CVE ID | Producto / Componente | Tipo de vulnerabilidad | Severidad |
|---|---|---|---|---|
| 1 | CVE-2026-42898 | Microsoft Dynamics 365 (On-Premises) | Ejecución remota de código | Crítica |
| 2 | CVE-2026-26164 | M365 Copilot | Divulgación de información | Crítica |
| 3 | CVE-2026-40358 | Microsoft Office | Ejecución remota de código | Crítica |
| 4 | CVE-2026-40363 | Microsoft Office | Ejecución remota de código | Crítica |
| 5 | CVE-2026-42831 | Microsoft Office | Ejecución remota de código | Crítica |
| 6 | CVE-2026-40365 | Microsoft SharePoint Server | Ejecución remota de código | Crítica |
| 7 | CVE-2026-41103 | Microsoft SSO Plugin para Jira y Confluence | Elevación de privilegios | Crítica |
| 8 | CVE-2026-40361 | Microsoft Word | Ejecución remota de código | Crítica |
| 9 | CVE-2026-40364 | Microsoft Word | Ejecución remota de código | Crítica |
| 10 | CVE-2026-40366 | Microsoft Word | Ejecución remota de código | Crítica |
| 11 | CVE-2026-40367 | Microsoft Word | Ejecución remota de código | Crítica |
| 12 | CVE-2026-41096 | Windows DNS Client | Ejecución remota de código | Crítica |
| 13 | CVE-2026-35421 | Windows GDI | Ejecución remota de código | Crítica |
| 14 | CVE-2026-40403 | Windows Graphics Component | Ejecución remota de código | Crítica |
| 15 | CVE-2026-40402 | Windows Hyper-V | Elevación de privilegios | Crítica |
| 16 | CVE-2026-32161 | Windows Native WiFi Miniport Driver | Ejecución remota de código | Crítica |
| 17 | CVE-2026-41089 | Windows Netlogon | Ejecución remota de código | Crítica |
| 18 | CVE-2026-41094 | Microsoft Data Formulator | Ejecución remota de código | Importante |
| 19 | CVE-2026-40362 | Microsoft Excel | Ejecución remota de código | Importante |
| 20 | CVE-2026-34329 | Microsoft Message Queuing (MSMQ) | Ejecución remota de código | Importante |
| 21 | CVE-2026-40370 | SQL Server | Ejecución remota de código | Importante |
| 22 | CVE-2026-40415 | Windows TCP/IP | Ejecución remota de código | Importante |
La ausencia de días cero confirmados es la nota más relevante del Patch Tuesday de mayo. En meses anteriores, Microsoft había corregido fallas que ya estaban siendo explotadas activamente. Abril 2026 incluyó dos días cero y marzo otros dos.
Que mayo no traiga días cero divulgados no implica que el riesgo baje. La explotación pública suele aparecer en las semanas posteriores al boletín, una vez que los actores maliciosos hacen ingeniería inversa de los parches. La ventana entre la publicación y la explotación masiva es la principal métrica que debe vigilar tu equipo de seguridad.
Para el contexto de México, donde la mediana de tiempo de parcheo en empresas medianas supera los 30 días en sistemas críticos, esa ventana es lo que decide si una organización resiste o cae. La disciplina de parcheo en plazos cortos es uno de los controles más efectivos que un SOC para empresas gestiona en nombre del cliente.
El Patch Tuesday de Microsoft suele coincidir con boletines de otros proveedores. En mayo de 2026 destacan dos casos de explotación activa fuera del ecosistema Microsoft.
Ivanti publicó un parche para una vulnerabilidad de alta severidad en Endpoint Manager Mobile (EPMM) que ya estaba siendo explotada como día cero. Palo Alto Networks alertó sobre una falla crítica en el portal de autenticación User-ID de PAN-OS, también explotada en ataques. Los parches de Palo Alto aún no están disponibles. El proveedor liberó únicamente mitigaciones, lo que obliga a aplicar controles compensatorios mientras se libera el fix definitivo.
El resto del calendario de mayo incluye actualizaciones de Adobe (After Effects, Premiere Pro, Media Encoder, Commerce, Illustrator), AMD (corrupción en caché de operaciones de CPU Zen 2), Apple (macOS, iOS, watchOS, iPadOS, visionOS, tvOS), Cisco (incluye una falla de denegación de servicio que requiere reinicio manual), Fortinet (dos críticas en FortiSandbox y FortiAuthenticator), Google (boletín de Android con 10 vulnerabilidades), Mozilla (cinco fallas en Firefox), SAP (una de alta severidad y dos críticas) y vm2 (crítica en la biblioteca de sandbox de Node.js).
La pregunta operativa que recibe cualquier director de TI tras un Patch Tuesday no es qué parchar, sino en qué orden. La estrategia de priorización se construye sobre tres criterios que pueden integrarse al checklist de ciberseguridad para directores de TI de tu organización.
CVSS (Common Vulnerability Scoring System) es el estándar que asigna un puntaje de severidad a cada CVE. Una CVE crítica en un sistema sin exposición a internet pesa menos que una importante en un servidor público. Mapea cada CVE contra tu inventario antes de planear el calendario de despliegue.
Las RCE explotables vía panel de vista previa de correo o navegación web ocupan la primera posición de la lista. Las que requieren acción intencional del usuario o privilegios previos pueden esperar al siguiente ciclo, siempre que el monitoreo confirme ausencia de explotación activa.
Algunos parches requieren reinicio o ventana de mantenimiento. Coordina con las áreas de negocio para evitar interrupciones en operaciones críticas. Documenta cada despliegue como evidencia para auditores y aseguradoras.
En TecnetOne, nuestra metodología combina monitoreo continuo de la postura de parcheo de tus endpoints con análisis correlacionado contra el inventario real de tu infraestructura. Cada cliente recibe un reporte mensual que cruza los boletines del Patch Tuesday con su exposición específica. El resultado es menos ruido y más foco en lo que realmente reduce riesgo.