Adobe, Microsoft y cientos de vulnerabilidades: por qué no debes posponer las actualizaciones de abril

El «martes de parches» de abril (Patch Tuesday) fue tan intenso que resulta imposible pasarlo por alto incluso con buena voluntad. Las empresas publicaron cientos de correcciones, y algunas vulnerabilidades ya se están explotando en ataques, por lo que posponer las actualizaciones ahora es arriesgado.

Adobe corrigió 61 vulnerabilidades en 12 productos. Se encontraron problemas en Acrobat Reader, InDesign, Photoshop, Illustrator, ColdFusion y otros programas. La historia más problemática está relacionada con Acrobat Reader: una de las fallas ya la están explotando los atacantes. La vulnerabilidad recibió máxima prioridad; se recomienda instalar la actualización de inmediato. Tampoco conviene ignorar el segundo conjunto de correcciones para Reader.

Destaca especialmente ColdFusion. Allí cerraron siete vulnerabilidades con alta puntuación de gravedad, y la actualización también recibió prioridad urgente. En otros productos la situación es más tranquila: hay errores, pero al momento de publicar los parches no se habían registrado ataques contra ellos.

Microsoft actuó a mucha mayor escala. La compañía solucionó 163 vulnerabilidades, y si se cuentan componentes de terceros y las actualizaciones de Chromium, el total asciende a 247. En volumen, es una de las mayores publicaciones de la historia.

Una de las vulnerabilidades ya se está empleando en ataques reales. Se trata de CVE-2026-32201 en SharePoint Server. Hay pocos detalles, pero errores similares a menudo están relacionados con ejecución de scripts entre sitios y permiten modificar o leer datos en el servidor. Si SharePoint está accesible desde Internet, es mejor no retrasar la actualización.

Otro problema notable, CVE-2026-33825 en Microsoft Defender, ya se hizo público. La explotación funciona de forma inestable, pero la vulnerabilidad es real y se publicó un parche.

Dos vulnerabilidades parecen potenciales «gusanos». La primera, CVE-2026-33827, afecta la pila de red de Windows y permite ejecutar código de forma remota sin autenticación y sin interacción del usuario. Con ciertas configuraciones de red, un atacante puede propagar el ataque automáticamente. La segunda, CVE-2026-33824, está relacionada con el protocolo de intercambio de claves IKE. En ese caso, bloquear los puertos UDP 500 y 4500 ayuda parcialmente, pero el riesgo dentro de la red persiste.

Entre los problemas críticos también hay errores en aplicaciones de oficina, donde nuevamente aparece el panel de vista previa como posible vector de ataque. También se encontró una vulnerabilidad en el cliente de Escritorio Remoto, pero para explotarla se necesita conexión a un servidor malicioso.

La mayor parte de las correcciones de abril cierra escaladas de privilegios. En la mayoría de los casos, un atacante que ya ha conseguido acceso puede obtener derechos de administrador o del sistema (SYSTEM). Hay excepciones. Por ejemplo, una vulnerabilidad en Azure Monitor Agent otorga acceso con privilegios root, y un error en SQL Server permite obtener privilegios de administrador de la base de datos.

Otro grupo lo constituyen las evasiones de mecanismos de seguridad. Las vulnerabilidades afectan a BitLocker, Secure Boot, Windows Hello e incluso PowerShell. En un caso, un atacante puede eludir la verificación de expresiones y lograr la ejecución de código. En otro, puede interferir en el funcionamiento del entorno aislado Virtualization-Based Security y acceder a memoria protegida.

Las fugas de información parecen menos peligrosas, pero también ayudan en los ataques. La mayoría de las veces se trata de filtración de direcciones de memoria o de datos desde la sandbox. Entre los casos raros está la filtración del contenido del Model Context Protocol al trabajar con Copilot. El paquete de parches de abril resultó pesado tanto por la cantidad como por el contenido. Ante las campañas ya conocidas y las amenazas potencialmente «autodiseminantes», no conviene retrasar las actualizaciones en esta ocasión.