Patch Tuesday Enero 2026: Microsoft corrige 114 vulnerabilidades y 3 Zero-Days activos

El primer martes de parches del año llega cargado con una carga de trabajo masiva para los administradores de sistemas. Microsoft ha lanzado actualizaciones de seguridad para corregir un total de 114 fallos, tres de los cuales ya están siendo explotados en ataques reales.

Si pensabas empezar el año con calma, piénsalo de nuevo. El Patch Tuesday de enero de 2026 no solo es voluminoso en cantidad, sino crítico en severidad. Microsoft ha abordado vulnerabilidades en Windows, Office, Azure, .NET Framework y SQL Server, entre otros.

De los 114 fallos corregidos, 8 han sido clasificados como “Críticos”, permitiendo principalmente la Ejecución Remota de Código (RCE). Sin embargo, la atención de todos los equipos de seguridad debe centrarse en los tres fallos de “Día Cero” que los atacantes ya conocían y estaban utilizando antes de que existiera este parche.

Los 3 Zero-Days

Estos son los fallos que los atacantes ya conocían y estaban utilizando antes de que Microsoft lanzara el parche. Su corrección debe ser la prioridad número uno en tu plan de remediación.

• CVE-2026-20805: Bypass de la función de seguridad de BitLocker

1. 1. Tipo: Evasión de características de seguridad.
   2. El Riesgo: Esta vulnerabilidad permite a un atacante con acceso físico al dispositivo eludir el cifrado de BitLocker y acceder a los datos protegidos. Es especialmente crítico para laptops corporativas y dispositivos móviles que pueden ser robados o perdidos.
   3. Estado: Explotación detectada en el entorno (In the Wild).

• CVE-2026-21265: Elevación de Privilegios en el controlador “Windows Cloud Files Mini Filter”

1. 1. Tipo: Escalada de Privilegios (EoP).
   2. El Riesgo: Este fallo afecta al controlador cldflt.sys (usado para gestionar archivos en la nube, como OneDrive). Un atacante que ya tenga acceso limitado al sistema (por ejemplo, a través de un malware básico) puede usar este exploit para elevar sus permisos y convertirse en SYSTEM, obteniendo control total de la máquina.
   3. Estado: Explotación activa confirmada.

• CVE-2023-31096: Elevación de Privilegios en controladores heredados de Agere (Módem)

1. 1. Tipo: Escalada de Privilegios (EoP).
   2. La Historia: A pesar de tener un ID de 2023, este fallo ha vuelto a cobrar vida. Los atacantes han estado abusando de una vulnerabilidad en los viejos controladores de módem de Agere Systems (aún presentes en muchas instalaciones de Windows por compatibilidad heredada) para ganar privilegios.
   3. La Solución Drástica: Microsoft ha decidido cortar por lo sano. La actualización de este mes elimina completamente los controladores agrsm64.sys y agrsm.sys del sistema. Si todavía usas hardware de módem de hace 20 años, dejará de funcionar, pero la brecha de seguridad quedará cerrada definitivamente.
   4. Estado: Explotación activa y persistente.

Lista de CVEs Críticos e Importantes

Estos fallos tienen la calificación más alta de severidad porque permiten tomar control del sistema sin necesidad de estar físicamente frente a él.

• CVE-2026-20854 (Windows LSASS):

1. 1. Tipo: Use-After-Free.
   2. Peligro: Crítico. Afecta al servicio de autenticación local (LSASS). Un atacante podría explotar esto a través de la red para ejecutar código arbitrario, lo que podría comprometer todo el dominio de Windows.

• CVE-2026-20944 (Microsoft Word):

1. 1. Tipo: Out-of-Bounds Read.
   2. Peligro: Crítico. Basta con que la víctima abra un documento de Word malicioso para que el atacante ejecute código en su máquina.

• CVE-2026-20953 / CVE-2026-20952 (Microsoft Office):

1. 1. Tipo: Use-After-Free.
   2. Peligro: Vulnerabilidades clásicas de corrupción de memoria en la suite de Office que permiten la ejecución de código.

• CVE-2026-20955 / CVE-2026-20957 (Microsoft Excel):

1. 1. Tipo: Problemas de punteros y desbordamiento de enteros (Integer Underflow).
   2. Peligro: Similar a los anteriores, dirigidos específicamente a hojas de cálculo manipuladas.

Otras Vulnerabilidades Notables (Elevación de Privilegios)

Aunque no son RCE, estos fallos permiten a un atacante que ya entró (quizás vía phishing) convertirse en administrador total:

• CVE-2026-20822: Fallo en el Componente de Gráficos de Windows.
• CVE-2026-20876: Fallo en el enclave de Seguridad Basada en Virtualización (VBS), lo que podría comprometer las características de seguridad más avanzadas del SO.
• CVE-2026-20919 a 20921: Múltiples fallos en el servidor SMB, críticos para servidores de archivos.

Otros Puntos Clave

• Adiós a los módems viejos: Como se mencionó, la actualización KB5073724 elimina soporte para hardware de módem obsoleto para cerrar vectores de ataque.
• Azure Virtual Desktop (AVD): Se ha corregido un bug molesto que impedía el inicio de sesiones de aplicaciones remotas (RemoteApp), un alivio para quienes gestionan entornos VDI.
• WSL (Linux en Windows): Solucionado el error de “No route to host” que rompía la conectividad VPN en el Subsistema de Windows para Linux.

Recomendación Final

Dada la presencia de RCEs en Office y Zero-Days en drivers, la estrategia de “esperar y ver” es arriesgada este mes. Se recomienda probar los parches en un anillo piloto inmediatamente y desplegarlos en producción en un plazo no mayor a 48 horas.