El 10 de febrero de 2026 Microsoft publicó su Patch Tuesday mensual, corrigiendo 58 vulnerabilidades repartidas por sus distintas plataformas. La actualización destaca por contener seis zero-days activamente explotados, tres de ellos divulgados públicamente antes de la llegada del parche, además de cinco fallos clasificados como críticos. Para una infraestructura empresarial o un equipo doméstico con Windows, se trata de una de las tandas más relevantes del año por la presión de explotación real.
Qué se ha corregido
El desglose por categorías de las 58 vulnerabilidades es el siguiente:
- 25 fallos de elevación de privilegios
- 12 de ejecución remota de código (RCE)
- 7 de suplantación (spoofing)
- 6 de divulgación de información
- 5 de bypass de funciones de seguridad
- 3 de denegación de servicio
De los cinco fallos críticos, tres son de elevación de privilegios y dos de divulgación de información.
Los seis zero-days explotados
Lo más urgente de esta tanda son los seis zero-days que ya estaban siendo aprovechados en ataques reales:
- CVE-2026-21510 (Windows Shell): bypass de función de seguridad que elude SmartScreen y Mark-of-the-Web. Un solo clic en un acceso directo manipulado ejecuta contenido del atacante sin avisos.
- CVE-2026-21513 (framework MSHTML): fallo de bypass que permite eludir una protección por red. Se ha asociado a actividad del grupo APT28 mediante archivos HTML o accesos directos
.lnkmaliciosos. - CVE-2026-21514 (Microsoft Word/Office): evade las mitigaciones OLE diseñadas para proteger frente a controles COM/OLE vulnerables; requiere abrir un documento manipulado.
- CVE-2026-21519 (Desktop Window Manager): elevación de privilegios a SYSTEM en un host ya comprometido.
- CVE-2026-21525 (Remote Access Connection Manager): denegación de servicio por desreferencia de puntero nulo.
- CVE-2026-21533 (Remote Desktop Services): escalada de privilegios que permite añadir usuarios al grupo de Administradores y llegar a SYSTEM.
Varios de estos identificadores figuran en el catálogo KEV (Known Exploited Vulnerabilities) de CISA, lo que obliga a las agencias federales estadounidenses a parchear en plazos concretos y sirve de señal de prioridad para cualquier organización.
A quién afecta y gravedad
La exposición abarca prácticamente todo el ecosistema Windows: escritorios, Windows Server, Office/Microsoft 365 y componentes de escritorio remoto. Como los zero-days se centran en bypass de protecciones (SmartScreen, Mark-of-the-Web, mitigaciones OLE) y en escalada de privilegios, encajan en cadenas de ataque típicas: el atacante consigue acceso inicial mediante un archivo o enlace malicioso y después escala hasta SYSTEM. Esto los hace especialmente peligrosos en entornos con usuarios que abren correo y adjuntos a diario.
Mitigación
La recomendación es clara: aplicar las actualizaciones de Windows de febrero de 2026 cuanto antes, priorizando los sistemas expuestos a Internet y los que ejecutan Remote Desktop Services. Conviene verificar que Windows Update se ha completado y reiniciar los equipos. Mientras tanto, mantener activos SmartScreen y las mitigaciones de Office, y desconfiar de accesos directos y documentos de origen no fiable, reduce la superficie de ataque.
Microsoft también empezó a desplegar certificados de Secure Boot actualizados para reemplazar los emitidos en 2011, que expiran a finales de junio de 2026. El despliegue es por fases en función de las señales de actualización correcta; conviene no posponerlo para evitar problemas de arranque seguro más adelante.
Fuente
- BleepingComputer: Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws