Microsoft lanzó el martes actualizaciones para abordar un récord 169 fallos de seguridad en toda su cartera de productos, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.

De estas 169 vulnerabilidades, 157 están clasificadas como importantes, ocho están clasificadas como críticas, tres están clasificadas como moderadas y una está clasificada como de gravedad baja. Noventa y tres de las fallas se clasifican como escalada de privilegios, seguidas de 21 vulnerabilidades de divulgación de información, 21 de ejecución remota de código, 14 de omisión de funciones de seguridad, 10 de suplantación de identidad y nueve de denegación de servicio.

También se incluyen entre las 169 fallas cuatro CVE no emitidos por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Las actualizaciones se suman a 78 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde la actualización que se lanzó el mes pasado.

El lanzamiento lo convierte en el segundo martes de parches más grande de la historia, un poco por debajo del récord establecido en octubre de 2025, cuando Microsoft solucionó 183 fallas de seguridad masivas. «A este ritmo, 2026 está en camino de afirmar que más de 1000 CVE Patch Tuesday al año es la norma», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«No sólo eso, sino que los errores de elevación de privilegios continúan dominando el ciclo del martes de parches durante los últimos ocho meses, representando un récord del 57% de todos los CVE parcheados en abril, mientras que las vulnerabilidades de ejecución remota de código (RCE) han caído a sólo el 12%, empatadas con las vulnerabilidades de divulgación de información este mes».

La vulnerabilidad que ha sido objeto de explotación activa es CVE-2026-32201 (Puntuación CVSS: 6,5), una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server.

«La validación de entrada inadecuada en Microsoft Office SharePoint permite que un atacante no autorizado realice suplantación de identidad en una red», dijo Microsoft en un aviso. «Un atacante que explotara con éxito la vulnerabilidad podría ver información confidencial (Confidencialidad), realizar cambios en la información revelada (Integridad), pero no puede limitar el acceso al recurso (Disponibilidad)».

Aunque la vulnerabilidad se descubrió internamente, actualmente no se sabe cómo se está explotando, quién puede estar detrás de la actividad y la escala de dichos esfuerzos.

«Esta vulnerabilidad de día cero en Microsoft SharePoint Server es causada por una validación de entrada incorrecta, lo que permite a los atacantes falsificar contenidos o interfaces confiables a través de una red», dijo Mike Walters, presidente y cofundador de Action1.

«Al explotar esta falla, un atacante puede manipular cómo se presenta la información a los usuarios, potencialmente engañándolos para que confíen en contenido malicioso. Si bien el impacto directo sobre los datos es limitado, la capacidad de engañar a los usuarios hace que esta sea una herramienta poderosa para ataques más amplios».

La explotación activa de CVE-2026-32201 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar a las vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la deficiencia antes del 28 de abril de 2026.

Otra vulnerabilidad a destacar es una falla de escalada de privilegios en Microsoft Defender (CVE-2026-33825puntuación CVSS: 7,8), que se marcó como de conocimiento público en el momento de su publicación. Según Redmond, la vulnerabilidad podría permitir a un atacante autorizado elevar los privilegios localmente aprovechando la falta de controles de acceso granular adecuados de Defender.

Microsoft señaló que no se requiere ninguna acción del usuario para instalar la actualización para CVE-2026-33825, ya que la plataforma se actualiza con frecuencia de forma predeterminada. Los sistemas que han desactivado Microsoft Defender no se encuentran en un estado explotable.

Una de las vulnerabilidades más graves es un caso de ejecución remota de código que afecta las extensiones del servicio de intercambio de claves de Internet (IKE) de Windows. CVE-2026-33824el defecto de seguridad tiene una puntuación CVSS de 9,8 sobre 10,0.

«La explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado.

«Las vulnerabilidades que conducen a RCE no autenticado contra activos modernos de Windows son relativamente raras, o veríamos más vulnerabilidades que se pueden propagar a través de Internet. Sin embargo, dado que IKE proporciona servicios de negociación de túneles seguros, por ejemplo, para VPN, está necesariamente expuesto a redes que no son de confianza y es accesible en un contexto de autorización previa».

Walters señaló que la falla de seguridad representa una seria amenaza para los entornos empresariales, particularmente aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de la vulnerabilidad podría comprometer completamente el sistema, permitiendo a los delincuentes robar datos confidenciales, interrumpir operaciones o moverse lateralmente a través de la red.

«La falta de interacción requerida por parte del usuario hace que esto sea especialmente peligroso para los sistemas conectados a Internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un candidato ideal para una rápida militarización», añadió Walters. «Los sistemas conectados a Internet que ejecutan servicios IKEv2 están particularmente en riesgo, y retrasar la implementación de parches aumenta la exposición a posibles ataques generalizados».