Microsoft ha solucionado 164 vulnerabilidades en su actualización de seguridad de abril de 2026, el doble que en marzo de 2026. Entre ellas se incluyen una vulnerabilidad Zero-Day explotada, una vulnerabilidad Zero-Day divulgada previamente y ocho vulnerabilidades Críticas.
Análisis de riesgos de abril de 2026
El tipo de riesgo principal por técnica de explotación este mes es la elevación de privilegios, con 93 parches (57%). Le siguen la ejecución remota de código (RCE) y la divulgación de información, con 20 parches cada una (12%).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de abril de 2026
Microsoft Windows ha recibido la mayor cantidad de parches este mes, con 131 (80%), seguido de Microsoft Office con 14 y Developer Tools con 8.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de abril de 2026
Vulnerabilidad Zero-Day explotada en Microsoft SharePoint Server
CVE-2026-32201 es una vulnerabilidad de suplantación de identidad (spoofing) de Importancia que afecta a Microsoft SharePoint Server y tiene una puntuación CVSS de 6.5. Ha sido explotada en la naturaleza como un Zero-Day. Esta vulnerabilidad permite a atacantes remotos no autenticados realizar spoofing explotando un fallo de validación incorrecta de entrada (CWE-20) en Microsoft Office SharePoint. No se requiere interacción del usuario y la complejidad del ataque es baja.
Un atacante que explotara con éxito esta vulnerabilidad podría ver información sensible y realizar cambios en la información divulgada, afectando tanto a la confidencialidad como a la integridad del sistema afectado. La disponibilidad no se ve afectada. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Importante | 6.5 | CVE-2026-32201 | Vulnerabilidad de suplantación de identidad en Microsoft SharePoint Server |
Tabla 1. Vulnerabilidad Zero-Day explotada en Microsoft SharePoint Server
Vulnerabilidad Zero-Day divulgada en Microsoft Defender
CVE-2026-33825 es una vulnerabilidad de elevación de privilegios de Importancia que afecta a Microsoft Defender y tiene una puntuación CVSS de 7.8. Esta vulnerabilidad permite a atacantes locales con bajos privilegios elevar sus privilegios explotando un fallo de granularidad insuficiente del control de acceso (CWE-1220) en Microsoft Defender. No se requiere interacción del usuario y tiene una complejidad de ataque baja. Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM.
Esta vulnerabilidad había sido divulgada públicamente antes de que se lanzara el parche, aunque no hay evidencia de explotación en la naturaleza. Existe código de explotación de proof-of-concept, y Microsoft evalúa que la explotación es más probable. Hay una corrección oficial disponible para que los clientes la implementen, aunque para algunos sistemas esta actualización se instalará automáticamente sin requerir acción alguna. Se presume que este es el CVE para el exploit BlueHammer publicado el 2 de abril de 2026, aunque no hay confirmación oficial en el momento de escribir este blog.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Importante | 7.8 | CVE-2026-33825 | Vulnerabilidad de elevación de privilegios en Microsoft Defender |
Tabla 2. Vulnerabilidad Zero-Day divulgada en Microsoft Defender
Vulnerabilidad Crítica en Windows TCP/IP
CVE-2026-33827 es una vulnerabilidad de ejecución remota de código (RCE) de Crítica que afecta a Windows TCP/IP y tiene una puntuación CVSS de 8.1. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario explotando un fallo de condición de carrera (CWE-362) en la pila TCP/IP de Windows. No se requiere interacción del usuario, aunque tiene una alta complejidad de ataque.
Un atacante no autenticado podría explotar esta vulnerabilidad enviando un paquete IPv6 especialmente diseñado a un nodo Windows donde IPSec esté habilitado. La explotación exitosa requiere que el atacante gane una condición de carrera y realice acciones preparatorias adicionales para configurar el entorno objetivo antes de la explotación. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.1 | CVE-2026-33827 | Vulnerabilidad de ejecución remota de código en Windows TCP/IP |
Tabla 3. Vulnerabilidad Crítica en Windows TCP/IP
Vulnerabilidad Crítica en Windows Internet Key Exchange (IKE) Service Extensions
CVE-2026-33824 es una vulnerabilidad de ejecución remota de código (RCE) de Crítica que afecta a Windows Internet Key Exchange (IKE) Service Extensions y tiene una puntuación CVSS de 9.8. Permite a atacantes remotos no autenticados ejecutar código arbitrario explotando un fallo de doble liberación (CWE-415) en la extensión IKE de Windows. No se requiere interacción del usuario y la complejidad del ataque es baja.
Un atacante no autenticado podría explotar esta vulnerabilidad enviando paquetes especialmente diseñados a una máquina Windows con Internet Key Exchange (IKE) versión 2 habilitado, lo que podría permitir la ejecución remota de código en el sistema objetivo. Hay una corrección oficial disponible para que los clientes la implementen.
Para los clientes que no puedan aplicar la actualización de inmediato, Microsoft recomienda bloquear el tráfico entrante en los puertos UDP 500 y 4500 para sistemas que no utilicen IKE, o restringir el tráfico entrante en esos puertos solo a direcciones de pares conocidos para sistemas que requieran IKE. Ten en cuenta que estas mitigaciones reducen la superficie de ataque, pero no sustituyen la aplicación de la actualización de seguridad.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 9.8 | CVE-2026-33824 | Vulnerabilidad de ejecución remota de código en Windows Internet Key Exchange (IKE) Service Extensions |
Tabla 4. Vulnerabilidad Crítica en Windows Internet Key Exchange (IKE) Service Extensions
Vulnerabilidad Crítica en Remote Desktop Client
CVE-2026-32157 es una vulnerabilidad de ejecución remota de código (RCE) de Crítica que afecta a Remote Desktop Client y tiene una puntuación CVSS de 8.8. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario explotando un fallo de uso después de liberación (CWE-416) en el Remote Desktop Client. Requiere interacción del usuario y tiene una complejidad de ataque baja.
Un atacante con control de un servidor Remote Desktop malicioso podría explotar esta vulnerabilidad incitando a una víctima a conectarse al servidor controlado por el atacante utilizando un cliente Remote Desktop vulnerable. Al conectarse, el atacante podría activar la ejecución remota de código en la máquina de la víctima. El ataque se dirige al lado del cliente de la conexión Remote Desktop, lo que significa que el riesgo recae en los usuarios que inician conexiones a servidores no confiables o comprometidos. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.8 | CVE-2026-32157 | Vulnerabilidad de ejecución remota de código en Remote Desktop Client |
Tabla 5. Vulnerabilidad Crítica en Remote Desktop Client
Vulnerabilidades Críticas en Microsoft Office y Microsoft Word
CVE-2026-32190, CVE-2026-33114, y CVE-2026-33115 son vulnerabilidades de ejecución remota de código (RCE) de Crítica que afectan a Microsoft Office y Microsoft Word, todas con una puntuación CVSS de 8.4. Estas vulnerabilidades permiten a atacantes no autenticados ejecutar código arbitrario explotando un fallo de uso después de liberación (CVE-2026-32190 y CVE-2026-33115) y un fallo de dereferenciación de puntero no confiable (CVE-2026-33114) en los componentes de Microsoft Office. Ninguna de las tres vulnerabilidades requiere interacción del usuario, y todas tienen una complejidad de ataque baja. Aunque no se requiere interacción del usuario, un atacante aún necesitaría que un archivo especialmente diseñado se guardara en un sistema de la víctima.
El panel de vista previa es un vector de ataque para las tres vulnerabilidades. Por lo tanto, un atacante podría crear un archivo especialmente diseñado que ejecute código malicioso en la máquina de la víctima simplemente a través del panel de vista previa, sin que la víctima tenga que abrir el archivo. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.4 | CVE-2026-32190 | Vulnerabilidad de ejecución remota de código en Microsoft Office |
| Crítica | 8.4 | CVE-2026-33114 | Vulnerabilidad de ejecución remota de código en Microsoft Word |
| Crítica | 8.4 | CVE-2026-33115 | Vulnerabilidad de ejecución remota de código en Microsoft Word |
Tabla 6. Vulnerabilidades Críticas en Microsoft Office y Microsoft Word
Vulnerabilidad Crítica en Windows Active Directory
CVE-2026-33826 es una vulnerabilidad de ejecución remota de código (RCE) de Crítica que afecta a Windows Active Directory y tiene una puntuación CVSS de 8.0. Esta vulnerabilidad permite a atacantes autenticados ejecutar código arbitrario explotando un fallo de validación incorrecta de entrada (CWE-20) en Windows Active Directory. No se requiere interacción del usuario y tiene una complejidad de ataque baja.
Un atacante autenticado podría explotar esta vulnerabilidad enviando una llamada RPC especialmente diseñada a un host RPC, lo que potencialmente resultaría en ejecución remota de código en el lado del servidor con los mismos permisos que el servicio RPC. La explotación exitosa requiere que el atacante esté dentro del mismo dominio de Active Directory restringido que el sistema objetivo. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.0 | CVE-2026-33826 | Vulnerabilidad de ejecución remota de código en Windows Active Directory |
Tabla 7. Vulnerabilidad Crítica en Windows Active Directory
Vulnerabilidad Crítica en .NET Framework
CVE-2026-23666 es una vulnerabilidad de denegación de servicio (DoS) de Crítica que afecta a .NET Framework y tiene una puntuación CVSS de 7.5. Esta vulnerabilidad permite a atacantes remotos no autenticados explotar un fallo de manipulación incorrecta de condiciones excepcionales (CWE-755) para causar una condición de DoS en los sistemas afectados. No se requiere interacción del usuario y tiene una complejidad de ataque baja. Hay una corrección oficial disponible para que los clientes la implementen.
| Gravedad | Puntuación CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 7.5 | CVE-2026-23666 | Vulnerabilidad de denegación de servicio en .NET Framework |
Tabla 8. Vulnerabilidad Crítica en Microsoft .NET Framework
