Seis "zero-days", 58 vulnerabilidades y posibilidad de control total del sistema: Microsoft lanza el Patch Tuesday de febrero
Investigadores descubren código para hackear Windows disponible públicamente dos meses antes de la salida de los parches
Microsoft publicó el paquete de actualizaciones de seguridad de febrero Patch Tuesday para sus productos y, en esta ocasión, resultó especialmente contundente. Los desarrolladores cerraron de inmediato 58 vulnerabilidades; seis de ellas ya están siendo explotadas por actores maliciosos en ataques reales y tres se hicieron públicas antes de la publicación de las correcciones.
El lanzamiento mensual tradicional de actualizaciones afecta tanto a las versiones de escritorio de Windows como a los componentes de servidor y en la nube. El golpe principal esta vez recayó en errores que ayudan a elevar privilegios en el sistema. Se contabilizaron 25 vulnerabilidades de ese tipo. Otras 12 permiten ejecutar código arbitrario; además, aparecen métodos para eludir mecanismos de protección, filtraciones de datos, denegaciones de servicio y suplantaciones. Microsoft también señaló cinco vulnerabilidades como «Críticas», entre ellas hay tanto elevaciones de privilegios como divulgaciones de información. En el recuento se tuvieron en cuenta únicamente las correcciones publicadas el mismo día de las actualizaciones, por lo que ciertas vulnerabilidades previamente cerradas del navegador Microsoft Edge no entraron en esta estadística.
Lo más importante para usuarios comunes y administradores ahora es que seis vulnerabilidades de día cero ya están siendo explotadas.
La primera, CVE-2026-21510, está relacionada con el shell de Windows y permite eludir avisos de seguridad. En esencia, al atacante le basta convencer a una persona de que abra un enlace o un acceso directo especialmente preparado, tras lo cual el sistema puede no mostrar las ventanas de advertencia habituales y ejecutar contenido peligroso. Microsoft no aporta detalles independientes, pero por la descripción parece que el ataque eludía el mecanismo de marca de origen de los archivos, que normalmente avisa sobre descargas desde Internet.
La segunda vulnerabilidad, CVE-2026-21513, afecta al componente MSHTML y también se describe como un mecanismo de elusión de protección a través de la red. La compañía no revela exactamente cómo se utilizó.
La tercera, CVE-2026-21514, afecta a Microsoft Word y permite eludir la protección relacionada con objetos OLE. El escenario es clásico: se envía a la víctima un documento malicioso y se le persuade para que lo abra. Microsoft señala, eso sí, que a través del panel de vista previa en Office este problema no se explota.
Entre las vulnerabilidades explotadas activamente destaca por separado CVE-2026-21519 en el administrador de ventanas del escritorio. Un ataque exitoso otorga privilegios a nivel SYSTEM, lo que equivale a casi el control total del equipo.
Otro problema, CVE-2026-21525, está relacionado con el servicio de acceso remoto de Windows y permite provocar una denegación de servicio al acceder a un puntero nulo. Según el responsable de ACROS Security, los especialistas encontraron código listo para explotar este error en un repositorio público de malware ya en diciembre de 2025, cuando se consideraba un día cero, y publicaron un microparche temporal.
Finalmente, CVE-2026-21533 afecta a los servicios de escritorio remoto y también conduce a una elevación de privilegios. En CrowdStrike, cuyo equipo observó y describió la explotación, indicaron que el código que detectaron cambia la clave de configuración del servicio por un valor controlado por el atacante. Esto puede permitir añadir un nuevo usuario al grupo de administradores y, a partir de ahí, desarrollar la intrusión a voluntad.
Además de cerrar vulnerabilidades, Microsoft empezó a actualizar los certificados Secure Boot. La compañía está cambiando los certificados originales de 2011, cuyo periodo de validez expira a finales de junio de 2026. En las notas de las actualizaciones de Windows 11 se explica que en las «actualizaciones de calidad» se añadieron datos con los que el sistema determina la preparación del dispositivo para recibir los nuevos certificados. La distribución será gradual y comenzará solo después de que el equipo muestre una cantidad suficiente de señales exitosas de instalación de actualizaciones.
Además de Microsoft, en febrero publicaron actualizaciones de seguridad otros grandes proveedores de software, entre ellos Adobe, Cisco, Fortinet, SAP y otras compañías. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una directiva obligatoria para las agencias federales con el requisito de desactivar los dispositivos de borde de red con soporte vencido.
Microsoft recomienda, como es habitual, instalar las actualizaciones lo antes posible, sobre todo en organizaciones donde son importantes las estaciones de trabajo con documentos de Office y los sistemas con los servicios de acceso remoto habilitados. Teniendo en cuenta la explotación ya confirmada, posponer este paquete de correcciones parece arriesgado.