El Patch Tuesday de enero de 2026 dejó una de las vulnerabilidades más peligrosas del mes para quien usa Microsoft Office: la CVE-2026-20953, un fallo de ejecución remota de código (RCE) calificado como crítico con una puntuación CVSS de 8.4. Lo que más asusta no es su gravedad, sino por dónde entra: el panel de vista previa (Preview Pane).
Qué es la vulnerabilidad
La CVE-2026-20953 permite ejecutar código de forma remota en Microsoft Office. Un atacante prepara un documento de Office manipulado y se lo hace llegar a la víctima con algo de ingeniería social: un correo, un mensaje, una descarga. Cuando Office procesa ese documento, el atacante puede ejecutar código arbitrario con los privilegios del usuario que lo abrió.
Aquí está el punto que duele: el panel de vista previa funciona como vector de ataque. La explotación no necesita que la víctima abra el archivo. Basta con que el documento aparezca en la vista previa de aplicaciones como Outlook o el Explorador de archivos de Windows para que el código malicioso se dispare. Con eso, la interacción que se le pide al usuario se reduce casi a cero, y con ella la barrera para que el ataque salga bien.
Y no viene sola. Su gemela, la CVE-2026-20952, comparte exactamente lo mismo: idéntica puntuación CVSS de 8.4, idéntica calificación crítica y el mismo vector a través del panel de vista previa. Las dos están entre las seis vulnerabilidades RCE críticas corregidas en este Patch Tuesday.
A quién afecta
Afecta a instalaciones de Microsoft Office, que está en todas partes, tanto en empresas como en casa, sobre Windows. Si recibes documentos de fuentes que no controlas estás en el rango de riesgo, y más todavía si tu cliente de correo tiene el panel de vista previa activado. Office está tan extendido que la superficie de exposición es enorme.
Gravedad
Microsoft etiquetó la explotación como “menos probable” (Exploitation Less Likely), pero esa nota se queda corta cuando miras el vector real. Un RCE crítico que se activa desde el panel de vista previa, sin abrir el archivo, hay que tratarlo como prioridad uno. Ejecutar código con los privilegios del usuario suele ser el primer paso hacia el compromiso completo del equipo.
Mitigación y parche
Lo principal y definitivo es aplicar las actualizaciones de seguridad de Microsoft del Patch Tuesday de enero de 2026 a través de Windows Update o de los canales de despliegue corporativos (WSUS, Intune, etc.). Mientras el parche no esté puesto, conviene:
- Desactivar el panel de vista previa en Outlook y en el Explorador de archivos de Windows.
- Abrir documentos que no son de confianza en Vista Protegida.
- Apretar el filtrado de correo y la concienciación frente a adjuntos sospechosos.
Si llevas servidores o estaciones de trabajo y quieres endurecer el sistema más allá del parche, te puede venir bien nuestro artículo sobre SELinux y AppArmor, con controles de acceso obligatorios en Linux. Y si administras un parque mixto, échale un ojo también a la ficha de Windows Desktop.