El Patch Tuesday de enero de 2026 de Microsoft trajo dos fallos de ejecución remota de código (RCE) en Microsoft Excel que merecen atención: CVE-2026-20957 y CVE-2026-20955. Los dos están entre las seis RCE que Microsoft marcó como críticas ese mes, dentro de un boletín que tapó más de un centenar de agujeros en total.
Qué son estas vulnerabilidades
CVE-2026-20957 es un integer underflow (subdesbordamiento de entero) que acaba provocando un desbordamiento de búfer en el heap (CWE-122). Cuando Excel abre una hoja de cálculo manipulada, una operación aritmética con enteros da la vuelta y corrompe la memoria del programa. A partir de ahí, esa corrupción sirve para hacerse con el flujo de ejecución y correr código arbitrario con los privilegios del usuario que abrió el documento. La puntuación es CVSS 7.8 (alta), con impacto alto en confidencialidad, integridad y disponibilidad.
CVE-2026-20955 es una desreferencia de puntero no confiable en Excel que también permite ejecución de código local. Nace de un manejo incorrecto de valores de puntero mientras se procesa un documento Excel diseñado a tal efecto, y eso puede darle al atacante el control sobre el flujo del programa.
En ambos el vector es local y necesita interacción: el atacante tiene que conseguir que la víctima abra un archivo manipulado (.xlsx, .xlsm o formatos heredados). Lo de siempre es la ingeniería social, un correo o una descarga que cuela la hoja de cálculo maliciosa.
A quién afecta
Estos fallos tocan a Microsoft Office Excel, a las apps Excel de Microsoft 365 y a las suites de Office que llevan Excel sobre Windows. Cualquier empresa o usuario que abra hojas de cálculo llegadas de fuera entra dentro del rango de exposición. Excel es una aplicación de Windows, sí, pero ten presente que los archivos de Office también se procesan en servidores y servicios como Office Online Server, que recibió su propia actualización.
Gravedad
Microsoft marcó los dos fallos como críticos en el boletín. El riesgo de fondo es que un solo documento abierto sin pensar puede comprometer la estación de trabajo del usuario y servir de puerta de entrada para movimiento lateral, robo de credenciales o ransomware. En el momento del parche no se reportó explotación activa de estos dos CVE, al contrario que otros zero-days del mismo Patch Tuesday, pero al ser RCE de memoria son objetivos golosos.
Mitigación y parche
Lo primero es aplicar las actualizaciones de seguridad de enero de 2026 vía Windows Update o por los canales de actualización de Microsoft 365 / Office. Algunas recomendaciones más:
- Mantén al día el cliente de Office en todos los equipos, no solo el sistema operativo.
- Desconfía de las hojas de cálculo que no esperabas y abre los archivos externos en Vista protegida.
- Bloquea o restringe las macros de origen externo mediante directivas.
- Aplica el mínimo privilegio para que un código ejecutado con la cuenta del usuario haga el menor daño posible.
Si llevas un parque de equipos, coloca estos parches arriba en tu cola de despliegue por su clasificación crítica.