El Patch Tuesday de abril de 2026 de **Microsoft** aborda un récord de 169 vulnerabilidades de seguridad, superando a todas las actualizaciones anteriores excepto una en tamaño. Este extenso parche soluciona fallos críticos en la amplia cartera de productos de la compañía, incluida una vulnerabilidad zero-day que se está explotando actualmente. ### Desglose de Vulnerabilidades De las 169 vulnerabilidades parcheadas, 157 están clasificadas como Importantes, ocho como Críticas, tres como Moderadas y una como Baja. La mayoría de estos fallos (93) son vulnerabilidades de escalada de privilegios, seguidas por divulgación de información (21), ejecución remota de código (21), omisión de características de seguridad (14), suplantación de identidad (10) y denegación de servicio (9). Las actualizaciones también incluyen cuatro CVE emitidas por partes distintas de **Microsoft**, que afectan a **AMD** (**CVE-2023-20585**), **Node.js** (**CVE-2026-21637**), Windows Secure Boot (**CVE-2026-25250**) y **Git for Windows** (**CVE-2026-32631**). Esto se suma a las 78 vulnerabilidades abordadas en el navegador Edge basado en Chromium desde la actualización del mes pasado. ### Un Parche Histórico Este lanzamiento es el segundo Patch Tuesday más grande hasta la fecha, solo superado por octubre de 2025, cuando **Microsoft** parcheó 183 fallos. **Satnam Narang**, ingeniero principal de investigación de **Tenable**, señaló que si el ritmo continúa, es probable que 2026 vea más de 1.000 CVE en los Patch Tuesday. Narang observó además el dominio de los errores de elevación de privilegios en los ciclos recientes de Patch Tuesday, representando el 57% de todos los CVE parcheados en abril. Las vulnerabilidades de ejecución remota de código (RCE) han disminuido al 12%, empatando con las vulnerabilidades de divulgación de información. ### Vulnerabilidad Explotada Activamente: CVE-2026-32201 La vulnerabilidad explotada activamente es **CVE-2026-32201** (puntuación CVSS: 6.5), una vulnerabilidad de suplantación de identidad en **Microsoft SharePoint Server**. Según **Microsoft**, una validación de entrada inadecuada permite a un atacante no autorizado realizar suplantación de identidad a través de una red, lo que podría permitir ver información confidencial o realizar cambios en la información divulgada. Aunque la vulnerabilidad se descubrió internamente, los detalles de su explotación, los actores involucrados y la escala de los ataques son actualmente desconocidos. **Mike Walters**, presidente y cofundador de **Action1**, enfatizó que este fallo permite a los atacantes manipular cómo se presenta la información a los usuarios, lo que podría engañarlos para que confíen en contenido malicioso. La Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**) ha agregado **CVE-2026-32201** a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la vulnerabilidad antes del 28 de abril de 2026. ### Vulnerabilidad Conocida Públicamente: CVE-2026-33825 (BlueHammer) Otra vulnerabilidad notable es **CVE-2026-33825**, un fallo de escalada de privilegios en **Microsoft Defender** (puntuación CVSS: 7.8), que era de conocimiento público en el momento de su lanzamiento. Este fallo podría permitir a un atacante autorizado elevar privilegios localmente explotando la falta de controles de acceso granular adecuados en **Defender**. **Microsoft** afirma que no se requiere ninguna acción por parte del usuario para instalar la actualización para **CVE-2026-33825**, ya que la plataforma se actualiza automáticamente con frecuencia por defecto. Los sistemas que han deshabilitado **Microsoft Defender** no son vulnerables. Se cree que este parche resuelve un exploit zero-day conocido como **BlueHammer**, que fue compartido en **GitHub** el 3 de abril de 2026 por un investigador de seguridad tras una disputa con **Microsoft** sobre el proceso de divulgación de vulnerabilidades. El acceso al repositorio del exploit actualmente requiere un inicio de sesión en **GitHub**. **Cyderes** explica que **BlueHammer** explota el proceso de actualización de **Microsoft Defender** a través del abuso de Volume Shadow Copy para escalar privilegios a NT AUTHORITY\SYSTEM encadenando características legítimas de Windows. Los investigadores **Rahul Ramesh** y **Reegun Jayapaul** de **Cyderes** detallaron cómo **BlueHammer** utiliza callbacks de Cloud Files y oplocks para pausar **Defender** durante la creación de una instantánea temporal de Volume Shadow Copy, dejando accesibles las colmenas del registro SAM, SYSTEM y SECURITY. **Will Dormann** confirmó en Mastodon que el exploit **BlueHammer** ya no funciona y parece haber sido corregido por **CVE-2026-33825**, aunque algunos componentes del exploit aún podrían funcionar. ### Vulnerabilidad Crítica de Ejecución Remota de Código: CVE-2026-33824 Entre las vulnerabilidades más graves se encuentra **CVE-2026-33824**, un fallo de ejecución remota de código que afecta a las Extensiones del Servicio Internet Key Exchange (IKE) de Windows, con una puntuación CVSS de 9.8 sobre 10.0. **Adam Barnett**, ingeniero de software principal en **Rapid7**, declaró que la explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 habilitado, lo que podría resultar en ejecución remota de código. Barnett destacó la rareza de las vulnerabilidades RCE no autenticadas contra activos modernos de Windows, pero enfatizó la exposición inherente de IKE, dado su papel en la provisión de servicios de negociación de túneles seguros para VPN. **Walters** advirtió que este fallo representa una seria amenaza para los entornos empresariales, especialmente aquellos que utilizan VPN o IPsec para comunicaciones seguras. La explotación exitosa podría resultar en un compromiso completo del sistema, permitiendo el robo de datos, la interrupción operativa o el movimiento lateral a través de la red. La falta de interacción del usuario requerida y el potencial de ataques generalizados hacen que esta vulnerabilidad sea particularmente peligrosa para los sistemas expuestos a Internet que ejecutan servicios IKEv2.