Lo que parecía un mes tranquilo se ha convertido en una carrera contra el reloj. Los administradores de sistemas deben priorizar Windows Shell y Office tras revelarse que actores de amenazas ya están explotando fallos de seguridad para saltarse las protecciones de SmartScreen.
El segundo martes del mes ha llegado y con él, la habitual pero tensa rutina de actualizaciones de Microsoft. Hoy 10 de febrero de 2026, el lanzamiento de parches para 54 vulnerabilidades en total. Aunque el número bruto parece bajo comparado con los meses de tres dígitos, la gravedad es extrema: se han confirmado 6 vulnerabilidades de Zero-Day, de las cuales tres ya están siendo utilizadas en ataques reales contra usuarios.
Este mes, el foco no está solo en el sistema operativo Windows, sino en las herramientas de desarrollo y la nube. Azure, GitHub Copilot y Visual Studio han recibido correcciones críticas, lo que sugiere que los atacantes están apuntando cada vez más a la cadena de suministro de software y a los entornos de desarrollo.
Los Zero-Days: SmartScreen vuelve a fallar
La estrella oscura de este mes es, nuevamente, la seguridad de Windows SmartScreen y MSHTML. Los atacantes han encontrado formas de eludir las advertencias de seguridad (“Mark of the Web”) que normalmente te avisan antes de ejecutar un archivo descargado de internet.
- El Ataque: Al convencer a un usuario de hacer clic en un enlace o archivo de acceso directo (.lnk) especialmente diseñado, el malware se ejecuta sin que Windows muestre la alerta de “Sitio no seguro” o “Archivo desconocido”.
- El Impacto: Esto convierte al phishing en un arma mucho más letal, ya que elimina la última línea de defensa del usuario final.
Azure y Copilot en la Mira
Otro punto alarmante es la cantidad de fallos de Ejecución Remota de Código (RCE) en herramientas modernas. GitHub Copilot y el Azure SDK para Python presentaban agujeros que podrían permitir a un atacante comprometer el entorno de desarrollo de una empresa simplemente logrando que el desarrollador cargue código malicioso o se conecte a un servicio infectado.
Recomendación para SysAdmins
La estrategia de “esperar y ver” no es viable este mes. Los fallos de Zero-Day en Office y Windows Shell requieren una implementación de parches en menos de 48 horas para los equipos expuestos a internet o usuarios con alto riesgo de phishing (Finanzas, RRHH).
Lista de CVEs Críticos – Febrero 2026
Zero-Days (Explotación Activa Confirmada)
Estos fallos ya están siendo usados por hackers. Prioridad: INMEDIATA.
- CVE-2026-21510 Windows Shell Security Feature Bypass
- Riesgo: Permite a los atacantes saltarse las advertencias de SmartScreen. Fundamental para detener infecciones por malware vía descargas.
- CVE-2026-21513 MSHTML Platform Security Feature Bypass
- Riesgo: Permite la ejecución de scripts maliciosos al abrir archivos HTML diseñados, evadiendo controles de seguridad del navegador/sistema.
- CVE-2026-21514 Microsoft Office Security Feature Bypass
- Riesgo: Atacantes pueden eludir las protecciones contra documentos maliciosos (OLE mitigations) en Microsoft 365 y Office.
Zero-Days (Públicamente Divulgados)
- CVE-2026-21519 Windows DWM Elevation of Privilege
- Riesgo: Un atacante local puede ganar privilegios de SYSTEM explotando el Desktop Window Manager.
- CVE-2026-21533 Windows Remote Desktop Services Elevation of Privilege
- Riesgo: Escalada de privilegios en servidores de Escritorio Remoto (RDS).
- CVE-2026-21525 Windows Remote Access Connection Manager DoS
- Riesgo: Permite tumbar el servicio de conexiones remotas (VPN/Dial-up) localmente.
Críticos (RCE – Ejecución Remota de Código)
Aunque no son Zero-Day, permiten tomar el control total del equipo.
- CVE-2026-21537: RCE en Microsoft Defender for Endpoint (Versión Linux). Irónico: una falla en el antivirus permite hackear el servidor.
- CVE-2026-21531: RCE en Azure SDK para Python. Peligroso para desarrolladores y servidores backend.
- CVE-2026-21523: RCE en GitHub Copilot y Visual Studio Code.
- CVE-2026-21250: Elevación de Privilegios en HTTP.sys. Afecta a servidores web Windows (IIS).
