Microsoft cerró el 14 de abril de 2026 su segundo Patch Tuesday más grande de la historia: 167 vulnerabilidades corregidas de una sola tacada. La cifra casi triplica la de febrero y deja el mes de abril como el más cargado de parches de todo 2026 con bastante margen. Si administras equipos Windows o servidores, este es de los boletines que conviene aplicar pronto.
Qué entra en el boletín
De los 167 fallos, ocho están marcados como críticos. Siete son de ejecución remota de código y el octavo es una denegación de servicio. El resto se reparte entre escaladas de privilegios, divulgación de información, suplantación y bypass de funciones de seguridad. A esa cuenta hay que sumarle casi 60 parches de navegador (Edge y el motor Chromium que lleva por debajo), que Microsoft contabiliza aparte pero que llegan en la misma ventana.
Lo que de verdad obliga a moverse rápido son los dos zero-days.
El zero-day de SharePoint, explotado en ataques
El primero es una vulnerabilidad de suplantación en Microsoft SharePoint Server (CVE-2026-32201, CVSS 6.5). El problema está en una validación de entrada insuficiente: un atacante no autenticado puede lanzar ataques de spoofing a través de la red, ver información que no le corresponde y modificar datos expuestos. La puntuación CVSS es media, pero el detalle importante es otro: Microsoft confirmó que ya se estaba explotando en ataques reales cuando salió el parche. Un zero-day con servidores de SharePoint de por medio merece prioridad alta, sobre todo si tienes instancias accesibles desde fuera.
El segundo zero-day: escalada a SYSTEM en Defender
El otro es una elevación de privilegios en la plataforma antimalware de Microsoft Defender (CVE-2026-33825, CVSS 7.8), bautizada como BlueHammer. Concede privilegios de nivel SYSTEM, lo máximo en un Windows. A diferencia del de SharePoint, este se divulgó públicamente antes de que existiera parche, aunque no se ha vinculado a explotación activa por ahora. Que el detalle técnico estuviera en la calle sin corrección disponible es justo lo que sube el riesgo. Se arregla en la versión 4.18.26030.3011 del motor, que se distribuye de forma automática, así que la mayoría de equipos lo recibirán sin intervención manual.
Otros fallos que conviene mirar
Entre las RCE críticas hay un par que destacan por su alcance. Una afecta a Windows IKE (CVE-2026-33824, CVSS 9.8), un double free que ZDI cataloga como wormable y que se explota sin autenticación por red; bloquear los puertos UDP 500 y 4500 sirve de mitigación temporal. Otra está en la pila TCP/IP de Windows (CVE-2026-33827), una condición de carrera que afecta a sistemas con IPv6 e IPSec activados. También hay RCE críticas en Active Directory y en Office/Word, estas últimas explotables a través del panel de vista previa, es decir, sin que la víctima abra el documento a mano.
Si recibes adjuntos a diario, prioriza las actualizaciones de Office. Y revisa los boletines de los meses vecinos para no dejar huecos: tienes el resumen de marzo y el de mayo, donde por primera vez en casi dos años Microsoft no reportó ningún zero-day.
La recomendación es la de siempre con un boletín de este tamaño: probar en un grupo piloto si gestionas un parque grande y desplegar cuanto antes en los equipos expuestos.