En un movimiento inusual fuera de su ciclo mensual, Redmond ha desplegado actualizaciones urgentes para cerrar una vulnerabilidad de “Bypass de Seguridad” que permite a los atacantes ejecutar código simplemente enviando un archivo de Office malicioso.
No esperes al próximo martes. Hoy, 26 de enero de 2026, que Microsoft ha liberado una actualización de seguridad “Fuera de Banda” (OOB) para corregir una vulnerabilidad de zero day en Microsoft Office que ya está siendo utilizada por hackers en ataques reales.
El fallo, rastreado como CVE-2026-21509, afecta a casi todas las versiones modernas de la suite de productividad, desde Office 2016 hasta las aplicaciones de Microsoft 365, y ha sido clasificado como una amenaza de “Alta Severidad” debido a su facilidad de explotación.
El Fallo: CVE-2026-21509
La vulnerabilidad se describe como un “Bypass de Característica de Seguridad”. Normalmente, Office tiene múltiples capas de protección (como la Vista Protegida o el bloqueo de macros) para evitar que el código malicioso se ejecute automáticamente.
- El Mecanismo: CVE-2026-21509 permite a un atacante eludir estas protecciones locales. El fallo reside en cómo Office toma decisiones de seguridad basándose en “entradas no confiables”.
- El Ataque: Para explotarlo, un atacante solo necesita convencer a la víctima de abrir un archivo de Office especialmente diseñado (Word, Excel, etc.). Al abrirlo, el archivo logra saltarse las restricciones y ejecutar código malicioso en el sistema de la víctima.
- Vectores: Aunque Microsoft confirma que el Panel de Vista Previa de Outlook no es un vector de ataque para este fallo específico (a diferencia de otros recientes), la apertura manual del archivo es suficiente para comprometer el equipo.
¿A quién afecta?
La lista de software vulnerable es extensa, cubriendo tanto versiones perpetuas como de suscripción:
- Microsoft Office 2016 (Todas las ediciones)
- Microsoft Office 2019
- Microsoft Office LTSC 2021
- Microsoft Office LTSC 2024
- Microsoft 365 Apps for Enterprise (Suscripción)
Estado de la Corrección
La respuesta varía según la versión que utilices:
- Usuarios de Microsoft 365 / Office 2021+: Si estás en las versiones modernas (Click-to-Run), estás de suerte. Microsoft ha mitigado el fallo mediante un cambio en el lado del servidor. Simplemente reinicia tus aplicaciones de Office para que la protección se active automáticamente. No necesitas descargar un instalador masivo.
- Usuarios de Office 2016 y 2019: Aquí la situación es más crítica. Microsoft está trabajando en el parche final, pero mientras tanto, ha proporcionado una solución manual mediante el registro de Windows para bloquear los controles COM/OLE vulnerables.
Solución Temporal (Workaround) para Versiones Antiguas
Si administras entornos con Office 2016/2019 y no puedes esperar al parche, Microsoft recomienda aplicar las siguientes claves de registro para bloquear el ataque:
Advertencia: Modificar el registro conlleva riesgos. Realiza una copia de seguridad antes de proceder. Se deben añadir claves específicas de “COM Compatibility” para deshabilitar la activación de los objetos afectados. (Consulta el boletín oficial de Microsoft para los CLSIDs exactos).
