Un archivo y un clic bastan para un día cero en MS Office: Microsoft toma medidas contra la vulnerabilidad explotada
La empresa advirtió sobre hackeos mediante documentos maliciosos de Microsoft Office.
Microsoft publicó de manera urgente actualizaciones de seguridad para Microsoft Office debido a una peligrosa vulnerabilidad de día cero, que ya se está utilizando en ataques reales. El problema permite eludir los mecanismos de protección integrados y puede explotarse a través de un documento malicioso común si el usuario simplemente abre el archivo.
La vulnerabilidad recibió el identificador CVE-2026-21509 y afecta a Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 y Microsoft 365 Apps for Enterprise. Según la compañía, las correcciones ya están disponibles para las versiones más recientes de Office, y los usuarios de Office 2021 y de compilaciones más recientes estarán protegidos automáticamente tras reiniciar las aplicaciones. Por su parte, las actualizaciones para Office 2016 y 2019 aún no se han publicado y aparecerán más adelante.
La esencia del problema radica en la elusión de los mecanismos de protección relacionados con componentes COM y OLE. Al atacante le basta enviar a la víctima un archivo malicioso y convencerla de que abra el documento, tras lo cual es posible la ejecución local del ataque. Microsoft subraya que la ventana de vista previa no se utiliza como vector de ataque; sin embargo, la propia interacción del usuario con el archivo sigue siendo el factor clave de riesgo.
Para los usuarios de Office 2016 y 2019, la compañía propuso medidas temporales para reducir la amenaza mediante cambios en el registro de Windows que, según Microsoft, pueden disminuir el riesgo de explotación hasta la publicación de los parches oficiales. No obstante, la corporación no reveló detalles sobre el descubrimiento de la vulnerabilidad ni detalles técnicos de los ataques. El incidente se convirtió en parte de una ola más amplia de actualizaciones de emergencia en enero de 2026, cuando Microsoft ya corrigió decenas de otras vulnerabilidades, incluidas varias vulnerabilidades de día cero que se explotaban activamente.