Las plataformas de inteligencia artificial pueden ser tan susceptibles a la ingeniería social como los seres humanos, pero están demostrando ser notablemente buenas para encontrar vulnerabilidades de seguridad en el código informático creado por humanos. Esa realidad se exhibe por completo este mes con algunos de los fabricantes de software más utilizados —incluyendo **Apple**, **Google**, **Microsoft**, **Mozilla** y **Oracle**— corrigiendo volúmenes cercanos a récords de errores de seguridad, y/o acelerando el ritmo de sus liberaciones de parches. ### Patch Tuesday de Microsoft Como lo hace el segundo martes de cada mes, **Microsoft** lanzó hoy actualizaciones de software para abordar al menos 118 vulnerabilidades de seguridad en sus diversos sistemas operativos **Windows** y otros productos. Sorprendentemente, este es el primer Patch Tuesday en casi dos años que Microsoft no envía ninguna corrección para tratar fallos de emergencia **zero-day** que ya están siendo explotados. Tampoco ninguna de las fallas corregidas hoy ha sido divulgada previamente (lo que potencialmente daría a los atacantes una pista sobre cómo explotar la debilidad). Dieciséis de las vulnerabilidades obtuvieron la etiqueta más grave de "crítica" de Microsoft, lo que significa que **malware** o delincuentes podrían abusar de estos errores para tomar control remoto de un dispositivo Windows vulnerable con poca o ninguna ayuda del usuario. **Rapid7** ha realizado gran parte del trabajo pesado para identificar algunas de las debilidades críticas más preocupantes este mes, incluyendo: * [CVE-2026-41089](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41089): Un desbordamiento crítico de búfer basado en pila en Windows Netlogon que ofrece a un atacante privilegios de SYSTEM en el controlador de dominio. No se requieren privilegios ni interacción del usuario, y la complejidad del ataque es baja. Hay parches disponibles para todas las versiones de Windows Server desde 2012 en adelante. * [CVE-2026-41096](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41096): Una **RCE** crítica en la implementación del cliente DNS de Windows digna de atención a pesar de que Microsoft evalúa la explotación como menos probable. * [CVE-2026-41103](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41103): Una vulnerabilidad crítica de elevación de privilegios que permite a un atacante no autorizado hacerse pasar por un usuario existente presentando credenciales falsificadas, eludiendo así Entra ID. Microsoft espera que la explotación sea más probable. El Patch Tuesday de mayo es un bienvenido respiro de abril, que vio a Microsoft corregir un récord cercano de 167 fallos de seguridad. Microsoft estuvo entre una docena de gigantes tecnológicos que recibieron acceso a "**Project Glasswing**", una capacidad de IA muy promocionada desarrollada por **Anthropic** que parece bastante eficaz para desenterrar vulnerabilidades de seguridad en el código. ### La Respuesta de Apple **Apple**, otro participante temprano en Project Glasswing, típicamente corrige un promedio de 20 vulnerabilidades cada vez que envía una actualización de seguridad para dispositivos iOS, dijo **Chris Goettl**, vicepresidente de gestión de productos en **Ivanti**. El 11 de mayo, Apple envió actualizaciones para abordar al menos 52 vulnerabilidades y retroportó los cambios hasta el iPhone 6s y iOS 15. ### El Agresivo Parcheo de Mozilla El mes pasado, **Mozilla** lanzó **Firefox 150**, que resolvió [un asombroso total de 271 vulnerabilidades](https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/) que supuestamente fueron descubiertas durante la evaluación de Glasswing. “Desde el lanzamiento de Firefox 150.0.0, han estado en una cadencia semanal más agresiva para actualizaciones de seguridad, incluyendo el lanzamiento de Firefox 150.0.3 en el Patch Tuesday de mayo, resolviendo entre tres y cinco **CVEs** en cada lanzamiento”, dijo Goettl. ### Oracle y Google se Unen al Desfile de Parches El gigante del software **Oracle** también aumentó recientemente su ritmo de parches en respuesta a su trabajo con Glasswing. En su actualización trimestral de parches más reciente, Oracle abordó al menos 450 fallos, incluyendo [más de 300 correcciones para fallos autenticados y explotables remotamente](https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/). Pero a finales de abril, Oracle anunció que estaba cambiando a un ciclo de actualización mensual para problemas de seguridad críticos. El 8 de mayo, **Google** comenzó a implementar actualizaciones para su navegador Chrome que [corrigieron un asombroso número de 127 fallos de seguridad](https://www.forbes.com/sites/daveywinder/2026/05/08/critical-new-google-security-update-127-chrome-security-vulnerabilities-confirmed/) (un aumento de solo 30 el mes anterior). Chrome descarga automáticamente las actualizaciones de seguridad disponibles, pero su instalación requiere reiniciar completamente el navegador. Si encuentra alguna rareza al aplicar las actualizaciones de Microsoft o de cualquier otro proveedor mencionado aquí, no dude en expresarse en los comentarios. Mientras tanto, si no ha respaldado sus datos y/o su unidad recientemente, hacerlo *antes* de actualizar es un consejo generalmente sensato. Para una visión más detallada de las actualizaciones de Microsoft lanzadas hoy, consulte [este inventario](https://isc.sans.edu/forums/diary/Microsoft%20May%202026%20Patch%20Tuesday/32980/) del **SANS Internet Storm Center**.