Microsoft ha solucionado 114 vulnerabilidades en su habitual Patch Tuesday de enero de 2026, incluyendo 112 CVE recién parcheadas y 2 avisos actualizados. La actualización de este mes soluciona una vulnerabilidad importante explotada activamente, dos vulnerabilidades importantes divulgadas públicamente y ocho vulnerabilidades críticas, junto con 103 CVE adicionales de distintos niveles de gravedad.
Análisis de riesgos de enero de 2026
Los principales tipos de riesgo de este mes por técnica de explotación son la elevación de privilegios con 57 parches (50 %), la ejecución remota de código (RCE) con 22 parches (19 %) y la divulgación de información con 22 parches (19 %).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de enero de 2026.
Microsoft Windows recibió la mayor cantidad de parches este mes, con 93, seguido por Microsoft Office, con 16.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de enero de 2026.
Vulnerabilidad de día cero explotada activamente en Windows Desktop Window Manager
CVE-2026-20805 es una vulnerabilidad importante de divulgación de información que afecta a Windows Desktop Window Manager con una puntuación CVSS de 5,5. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente en el mundo real.
La vulnerabilidad permite a los atacantes locales con privilegios de usuario básicos acceder a direcciones de memoria del sistema sensibles a través de los canales de comunicación internos de Windows. Esta información puede ayudar a los atacantes a eludir las protecciones de seguridad o permitir ataques más sofisticados. La vulnerabilidad es fácil de explotar, ya que solo requiere acceso local sin interacción del usuario, y afecta a varias versiones de los sistemas Windows 10, Windows 11 y Windows Server.
| Severity | CVSS Score | CVE | Description |
| Important | 5.5 | CVE-2026-20805 | Desktop Window Manager Information Disclosure Vulnerability |
Tabla 1. Vulnerabilidad importante zero-day explotada activamente en Windows Desktop Window Manager.
Vulnerabilidad Zero-Day revelada públicamente en Windows Agere Soft Modem
CVE-2023-31096 es una importante vulnerabilidad de elevación de privilegios que afecta a los controladores Windows Agere Soft Modem con una puntuación CVSS de 7,8. Aunque se ha revelado públicamente, no hay pruebas de que se haya explotado en la práctica.
Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios de bajo nivel escalar a un acceso de nivel SYSTEM a través de un desbordamiento de búfer basado en la pila en los controladores del módem Agere Soft. La explotación exitosa permite a los atacantes obtener el control completo sobre los sistemas Windows afectados.
Microsoft ha solucionado esta vulnerabilidad eliminando los controladores Agere Soft Modem en la actualización acumulativa de enero de 2026. Como resultado, el hardware de módem software que depende de estos controladores ya no funcionará en Windows.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2023-31096 | Agere Soft Modem Driver Elevation of Privilege Vulnerability |
Tabla 2. Vulnerabilidad importante de tipo «zero-day» divulgada públicamente en Windows Agere Soft Modem
Vulnerabilidad zero-day revelada públicamente en Windows Secure Boot
CVE-2026-21265 es una vulnerabilidad importante que afecta a Windows Secure Boot y tiene una puntuación CVSS de 6,4. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios elevados eludir las funciones de seguridad aprovechando las debilidades del mecanismo de actualización de certificados a través del acceso local al sistema. Aunque se ha revelado públicamente, no hay pruebas de que se esté explotando activamente.
Los defectos en los componentes del firmware del mecanismo de actualización de certificados podrían interrumpir la cadena de confianza de Secure Boot. Una explotación exitosa requiere una alta complejidad de ataque y podría permitir a los atacantes eludir las protecciones de Secure Boot. Microsoft ha publicado una corrección oficial y una guía detallada tanto para los dispositivos Windows gestionados por Microsoft como para los gestionados por TI.
| Severity | CVSS Score | CVE | Description |
| Important | 6.4 | CVE-2026-21265 | Secure Boot Certificate Expiration Security Feature Bypass Vulnerability |
Tabla 3. Vulnerabilidad importante de tipo «zero-day» revelada públicamente en Windows Secure Boot.
Dos vulnerabilidades críticas en Microsoft Office
CVE-2026-20952 y CVE-2026-20953 son vulnerabilidades críticas de ejecución remota de código en Microsoft Office, ambas con puntuaciones CVSS de 8,4. Estas vulnerabilidades permiten a atacantes no autenticados ejecutar código arbitrario aprovechando condiciones de uso después de la liberación en componentes de Microsoft Office. La explotación no requiere la interacción del usuario en el peor de los casos y puede activarse enviando correos electrónicos o enlaces maliciosos especialmente diseñados al usuario objetivo, utilizando el panel de vista previa como vector de ataque para ambas vulnerabilidades. En el escenario de ataque más grave, un atacante podría enviar un correo electrónico especialmente diseñado sin necesidad de que la víctima abra el enlace, lo que daría lugar a la ejecución remota de código en el equipo de la víctima.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.4 | CVE-2026-20952 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2026-20953 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 4. Vulnerabilidades críticas en Microsoft Office
Tres vulnerabilidades críticas en productos de Microsoft Office
CVE-2026-20944 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Word con una puntuación CVSS de 8,4. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando una debilidad de lectura fuera de límites en los componentes de Microsoft Office Word. La explotación requiere la interacción del usuario: el atacante debe enviar un archivo malicioso y convencer al usuario objetivo para que lo abra, utilizando el panel de vista previa como vector de ataque para esta vulnerabilidad.
CVE-2026-20955 y CVE-2026-20957 son vulnerabilidades críticas de ejecución remota de código en Microsoft Excel, ambas con puntuaciones CVSS de 7,8. Estas vulnerabilidades permiten a atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de desreferenciación de punteros no confiables (CVE-2026-20955) y un desbordamiento de enteros que conduce a un desbordamiento de búfer basado en el montón (CVE-2026-20957) en los componentes de Microsoft Office Excel. La explotación requiere la interacción del usuario; un atacante debe enviar un archivo malicioso y convencer al usuario objetivo para que lo abra. A diferencia de la vulnerabilidad de Word CVE-2026-20944, el panel de vista previa no es un vector de ataque para ninguna de estas vulnerabilidades de Excel.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.4 | CVE-2026-20944 | Microsoft Word Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2026-20955 | Microsoft Excel Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2026-20957 | Microsoft Excel Remote Code Execution Vulnerability |
Tabla 5. Vulnerabilidades críticas en los productos de Microsoft Office
Una vulnerabilidad crítica en Windows Graphics
CVE-2026-20822 es una vulnerabilidad crítica de elevación de privilegios en Windows Graphics Component con una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes autenticados con privilegios bajos elevarse a privilegios del SYSTEM aprovechando una condición de uso después de la liberación en Microsoft Graphics Component. La explotación no requiere la interacción del usuario, pero tiene una alta complejidad de ataque, ya que para que la explotación tenga éxito, el atacante debe ganar una condición de carrera. En entornos de GPU virtualizados, un atacante que explote con éxito esta vulnerabilidad podría salir de una máquina virtual y obtener acceso al sistema host subyacente.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2026-20822 | Windows Graphics Component Elevation of Privilege Vulnerability |
Tabla 6. Vulnerabilidad crítica en Windows Graphics
Dos vulnerabilidades críticas en los componentes de seguridad de Windows
CVE-2026-20854 es una vulnerabilidad crítica de ejecución remota de código en el servicio del subsistema de autoridad de seguridad local (LSASS) de Windows con una puntuación CVSS de 7,5. Esta vulnerabilidad permite a los atacantes autenticados con privilegios bajos ejecutar código arbitrario a través de una red aprovechando una condición de uso después de la liberación (CWE-416) en LSASS de Windows. Cualquier atacante autenticado puede activar esta vulnerabilidad modificando ciertos atributos del directorio para proporcionar datos manipulados que hacen que el sistema haga referencia a memoria no válida durante la autenticación, lo que puede provocar un bloqueo o la ejecución remota de código. La explotación exitosa requiere una alta complejidad de ataque, ya que el atacante debe preparar el entorno de destino para mejorar la fiabilidad de la explotación.
CVE-2026-20876 es una vulnerabilidad crítica de elevación de privilegios en Windows Virtualization-Based Security (VBS) Enclave con una puntuación CVSS de 6,7. Esta vulnerabilidad permite a los atacantes que ya tienen acceso de administrador irrumpir en la capa de seguridad más protegida del sistema, diseñada para salvaguardar funciones críticas como la protección con contraseña y las características de seguridad, incluso cuando el sistema se ve comprometido. El ataque es relativamente sencillo de ejecutar y no requiere la interacción del usuario.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.5 | CVE-2026-20854 | Windows Local Security Authority Subsystem Service (LSASS) Remote Code Execution Vulnerability |
| Critical | 6.7 | CVE-2026-20876 | Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege Vulnerability |
Tabla 7. Vulnerabilidades críticas en los componentes de seguridad de Windows