Microsoft lanza el segundo número de parches más alto en un mes
El Patch Tuesday de abril de 2026 ha llegado con una avalancha de correcciones de errores. Microsoft lanzó actualizaciones para solucionar la asombrosa cifra de 167 vulnerabilidades de seguridad, incluyendo 165 CVE nuevos, lo que lo convierte en el segundo lanzamiento mensual de parches más grande en la historia de la compañía.
Esta actualización masiva aborda desde un zero-day explotado activamente en SharePoint Server, hasta una debilidad en Windows Defender revelada públicamente por un investigador de seguridad descontento. Mientras tanto, importantes actualizaciones de seguridad por parte de Google y Adobe hacen de este, un ciclo de parches crítico tanto para los administradores de TI como para los usuarios comunes.
Un zero-day de SharePoint bajo explotación activa
La amenaza más urgente en la lista de Microsoft es el CVE-2026-32201, una vulnerabilidad en SharePoint Server que los piratas informáticos ya están explotando activamente. Derivada de una validación de entrada incorrecta, la falla permite a atacantes no autorizados falsificar contenido o interfaces confiables a través de una red, dándoles el potencial de acceder, ver o alterar información confidencial.
Mike Walters, presidente y cofundador del proveedor de gestión de parches Action1, advirtió que la falla permite a los atacantes «falsificar la confianza a gran escala», presentando engaños cuidadosamente elaborados que parecen totalmente legítimos.
«Puede utilizarse para engañar a empleados, socios o clientes al presentar información falsificada dentro de entornos confiables de SharePoint», explicó Walters. «Este CVE puede facilitar ataques de phishing, manipulación de datos no autorizada o campañas de ingeniería social que permitan comprometer aún mas a la organización. El hecho de que el CVE esté siendo explotado de forma activa aumenta significativamente el nivel de riesgo».
Aunque Microsoft no ha proporcionado detalles específicos sobre cómo se está abusando de la vulnerabilidad o quién la descubrió inicialmente, aplicar el parche debe ser una prioridad.
El drama de «BlueHammer» en Windows Defender
Junto al día cero de SharePoint, una falla de elevación de privilegios conocida públicamente en Microsoft Defender (CVE-2026-33825) representa otro problema importante. Si bien el aviso de Microsoft es escaso en detalles, la comunidad de ciberseguridad notó rápidamente que el error coincide con un exploit denominado «BlueHammer», el código del cual fue publicado en GitHub a principios de este mes por un investigador frustrado que opera bajo el seudónimo de «Chaotic Eclipse», quien aparentemente se desesperó con el proceso de divulgación de Microsoft.
«Nunca quise reabrir un blog y una nueva cuenta de github para publicar código… Pero alguien violó nuestro acuerdo y me dejó en la calle sin nada…», escribió el investigador el 2 de abril.
Dustin Childs, jefe de concientización sobre amenazas en la Zero Day Initiative (ZDI), optó por omitir los comentarios sobre la complicada relación de Microsoft con los investigadores y simplemente señaló: «Me alegro de que ofrezcan una solución para la vulnerabilidad. Si dependes de Defender, prueba e implementa esta solución rápidamente». Afortunadamente, Will Dormann, analista principal de vulnerabilidades en Tharros, confirmó que la instalación de los parches de abril neutraliza con éxito el exploit público de BlueHammer.
Vulnerabilidades en SQL Server
El lanzamiento de abril también aborda una vulnerabilidad altamente crítica de ejecución remota de código en SQL Server (CVE-2026-33120). Ryan Braunstein, gerente de Seguridad y TI en Automox, destacó el peligro compuesto de los errores de SQL Server de este mes: «Un error permite a un atacante ingresar a tu instancia de SQL desde la red. El otro permite que alguien que ya está adentro pueda lograr el control total».
El rol de la Inteligencia Artificial
Pero, ¿qué está impulsando este repentino aumento récord en las divulgaciones de vulnerabilidades? El total de parches incluye casi 60 vulnerabilidades exclusivas de navegadores, lo que lleva a los expertos a señalar las capacidades en rápida expansión de la inteligencia artificial.
Adam Barnett, ingeniero de software principal en Rapid7, sugirió que el aumento podría estar relacionado con el rumor en torno al Proyecto Glasswing de Anthropic, una capacidad de IA no lanzada al público que, según se informa, es muy experta en encontrar errores de software. «Una conclusión segura es que este aumento en el volumen es debido a las capacidades de IA que están en constante expansión», dijo Barnett. «Deberíamos esperar ver más aumentos en el volumen de informes de vulnerabilidades a medida que se extienda el impacto de los modelos de IA».
Dustin Childs de ZDI se hizo eco de este sentimiento, señalando que es probable que los programas de recompensas por vulnerabilidades en toda la industria estén experimentando un aumento de solicitudes debido a los informes generados por IA.
Al ser cuestionados sobre si herramientas de IA como Mythos estaban detrás del recuento masivo de CVE, Microsoft minimizó la conexión en su mayor parte. «El lanzamiento de hoy no refleja un aumento significativo en los descubrimientos impulsados por IA», declaró un portavoz de Microsoft, antes de agregar una advertencia notable, «aunque sí acreditamos una vulnerabilidad a un investigador de Anthropic que utilizó Claude».
Chrome y Adobe también bajo fuego
La urgencia de actualizar el software se extiende mucho más allá de Redmond este mes. Recientemente, Adobe emitió un parche de emergencia para Adobe Reader con el fin de eliminar una falla de ejecución remota de código también explotada activamente (CVE-2026-34621). Según Satnam Narang, ingeniero de investigación senior en Tenable, hay indicios de que este zero-day de Adobe ha sido explotado en el mundo real desde al menos noviembre de 2025.
Google también ha estado ocupado, lanzando una actualización de Google Chrome a principios de este mes que solucionó 21 fallas de seguridad. Entre ellas se encontraba el CVE-2026-5281, una falla de alta gravedad que marca el cuarto zero-day de Chrome en 2026.
Debido a que Microsoft Edge se basa en el motor Chromium, muchas de las correcciones del navegador de Google se incluyen también en el lanzamiento masivo del Patch Tuesday de Microsoft. Para los usuarios finales, esto sirve como un recordatorio crítico. Independientemente del navegador que utilices, es vital cerrar por completo y reiniciar la aplicación periódicamente. Es fácil posponerlo cuando tienes docenas de pestañas abiertas, pero un reinicio rápido es la única forma de garantizar que estas actualizaciones vitales de seguridad realmente se instalen.
Deja una respuesta