Microsoft lanza parches críticos para 59 vulnerabilidades, incluyendo seis "Zero-Days" bajo ataque activo
La actualización de "Martes de Parches" de febrero revela una intensa actividad de actores de amenazas que explotan fallos en Office y el framework MSHTML para evadir medidas de seguridad de Windows.
REDMOND, Washington – En una de las actualizaciones más críticas en lo que va del año, Microsoft ha publicado parches de seguridad para 59 vulnerabilidades en su ecosistema de software. Lo más alarmante para los administradores de sistemas es que seis de estas fallas ya están siendo explotadas activamente por grupos de ciberdelincuentes, lo que ha llevado a la agencia CISA de EE. UU. a emitir una orden de parcheo inmediato.
El peligro del "Zero-Day": Evasión de seguridad con un solo clic
Entre los fallos más graves se encuentran vulnerabilidades en el Microsoft MSHTML Framework (el motor que Windows utiliza para renderizar contenido web). Destacan las identificadas como CVE-2026-21513 y CVE-2026-21514, calificadas como fallos de "evasión de funciones de seguridad".
Según expertos de Action1 y Tenable, estas vulnerabilidades permiten que un archivo malintencionado (ya sea un HTML o un documento de Office) omita silenciosamente las advertencias y avisos de seguridad de Windows. Esto significa que un atacante puede ejecutar acciones peligrosas en el sistema de la víctima con que esta solo haga un clic, sin que el sistema operativo genere la alerta habitual de "archivo sospechoso".
Escalada de privilegios y el factor Ruso
El reporte también señala vulnerabilidades de escalada de privilegios locales (LPE), como las CVE-2026-21519 y CVE-2026-21533. Aunque requieren que el atacante ya tenga un pie dentro de la red, permiten que este eleve sus permisos hasta el nivel de SYSTEM. Con este control total, los hackers pueden desactivar antivirus, robar credenciales de dominio y desplegar ransomware.
Por otro lado, la falla CVE-2026-21509 en Microsoft Office ha sido vinculada por analistas de inteligencia con grupos vinculados a la inteligencia militar rusa. Estos atacantes habrían iniciado campañas de spear-phishing contra organizaciones de transporte y marítimas en Europa y Asia apenas 24 horas después de que el fallo fuera descubierto.
CISA interviene: Una carrera contra el reloj
Dada la evidencia de explotación masiva, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido formalmente estas seis vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta acción obliga a las agencias gubernamentales a aplicar los parches antes de finales de mes, y sirve como una advertencia urgente para el sector privado.
Resumen de la actualización de febrero:
Total de fallos corregidos: 59
Vulnerabilidades Zero-Day: 6 (activamente explotadas)
Componentes afectados: Windows, Office, MSHTML, Azure y SQL Server.
Riesgo principal: Ejecución remota de código y evasión de protecciones de seguridad (SmartScreen/Mark-of-the-Web).
Recomendación: Se insta a todos los usuarios y administradores de TI a ejecutar Windows Update de inmediato y verificar que sus aplicaciones de Microsoft Office estén actualizadas a la última versión disponible para mitigar estos vectores de ataque documentados.