El Patch Tuesday de febrero de 2026 trajo la corrección de CVE-2026-21514, un fallo de bypass de función de seguridad en Microsoft Word que ya se estaba explotando como zero-day. Para colmo, se había hecho público antes de que existiera parche. Microsoft lo etiqueta como “Importante” y le pone una puntuación CVSS 7.8.
Qué es la vulnerabilidad
El fallo deja a un atacante saltarse las mitigaciones de OLE (Object Linking and Embedding), pensadas para protegerte frente a controles COM/OLE vulnerables, y de paso los avisos de Mark-of-the-Web (MotW). En el fondo hay una validación incorrecta de decisiones de seguridad a partir de entradas no confiables (CWE-807): si manipulas la estructura XML interna de un documento de Word preparado, la aplicación acaba tratando como “de confianza” un objeto OLE malicioso.
¿La consecuencia? El contenido se ejecuta sin mostrar los avisos habituales: ni el banner “Habilitar contenido” ni la pantalla de Vista protegida. Un documento que parece inofensivo se convierte así en un vehículo para entregar malware sin que al usuario le salte ninguna alarma.
A quién afecta
Afecta a instalaciones de Microsoft Word dentro de Microsoft 365 y Office, tanto en Windows como en macOS. Es un fallo del lado del cliente y necesita interacción del usuario. Lo normal es que la víctima reciba un archivo de Office malicioso (por correo, mensajería o descarga) y lo abra. No es algo que se explote en remoto y en silencio sin que toques nada, pero ahí está el problema: anula las salvaguardas que en condiciones normales te avisarían.
Gravedad
Con CVSS 7.8 entra en severidad alta. La urgencia sube por dos motivos. Se confirmó explotación activa en la naturaleza y, encima, hubo divulgación pública antes del parche, lo que da más margen a los atacantes oportunistas. CISA metió el fallo en sus directrices y fijó el 3 de marzo de 2026 como fecha límite de mitigación para las agencias federales.
Por sí solo es un bypass de protección, no una ejecución directa de código con privilegios máximos. Pero dentro de una cadena de ataque sirve para desactivar las barreras que separan al usuario de ejecutar contenido que controla el atacante, lo que allana el camino para soltar malware y mantener el acceso.
Mitigación y parche
La solución pasa por aplicar las actualizaciones de seguridad de febrero de 2026:
- En Windows, las correcciones llegan vía Click-to-Run de Microsoft 365 / Office. Deja Office en actualización automática.
- En macOS, actualiza a la versión 16.106.26020821 o posterior.
Como medidas extra: desconfía de documentos de Office que no esperabas, mantén la Vista protegida activada, no abras adjuntos de remitentes desconocidos y aplica políticas que bloqueen macros y objetos OLE en documentos que vengan de Internet.
El caso deja claro que las protecciones de Office no son infalibles. Las mitigaciones OLE y MotW son una capa más, no un sustituto de mantener todo al día y de andar con cabeza.
Fuente
- BleepingComputer: Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws
- NVD - NIST: CVE-2026-21514