**Microsoft** ha implementado sus actualizaciones del **Patch Tuesday de junio de 2026**, un lanzamiento crítico que aborda un total de 200 vulnerabilidades de seguridad. Entre estas se encuentran 33 clasificadas como "Críticas", incluyendo 28 fallos de ejecución remota de código (RCE), cuatro vulnerabilidades de elevación de privilegios (EoP) y un fallo de divulgación de información. La actualización de este mes también aborda específicamente tres vulnerabilidades zero-day divulgadas públicamente, ninguna de las cuales se sabe que haya sido explotada en ataques activos hasta el momento. Es importante tener en cuenta que este recuento cubre exclusivamente las vulnerabilidades parcheadas por **Microsoft** hoy. Excluye las correcciones para **Mariner**, **Azure HorizonDB**, **Microsoft Copilot**, **Copilot Chat**, **M365 Copilot**, **Microsoft Exchange Online** y **Microsoft Graph** que se abordaron a principios de mes. Además, 360 vulnerabilidades masivas de **Microsoft Edge**/**Chromium** parcheadas por **Google** este mes también están excluidas de este resumen en particular. ## El Panorama de las Zero-Day Este **Patch Tuesday** destaca tres vulnerabilidades zero-day divulgadas públicamente, lo que subraya los desafíos continuos en la seguridad del software. **Microsoft** define una zero-day como un fallo que se divulga públicamente o se explota activamente antes de que haya una solución oficial disponible. ### Windows CTFMON: Un Camino hacia Privilegios de SYSTEM Una zero-day significativa parcheada es una vulnerabilidad de **Windows CTFMON** que podría otorgar privilegios de SYSTEM a un atacante local. Descrita por **Microsoft** como una 'resolución de enlaces inadecuada antes del acceso a archivos ('seguimiento de enlaces') en el **Windows Collaborative Translation Framework**', este fallo permite a un atacante autorizado elevar privilegios localmente. La vulnerabilidad fue atribuida a un investigador anónimo, sin más detalles sobre su divulgación. ### HTTP/2 Bomb: Una Nueva Amenaza de DoS Otra corrección crítica aborda un fallo de denegación de servicio (DoS) de **HTTP/2** divulgado públicamente, apodado la '**HTTP/2 Bomb**'. Esta vulnerabilidad, revelada por investigadores de la firma de seguridad ofensiva **Calif** (específicamente Quang Luong y Codex), aprovecha el consumo de recursos descontrolado en **HTTP/2** para permitir que un atacante no autorizado niegue el servicio a través de una red. El ataque **HTTP/2 Bomb** explota cómo el protocolo **HTTP/2** comprime y gestiona las cabeceras del tráfico web. Los atacantes pueden enviar datos mínimos para forzar a los servidores a asignar cantidades desproporcionadamente grandes de memoria, lo que podría provocar problemas de rendimiento o interrupciones completas. Para mitigar esto, **Microsoft** ha introducido una nueva configuración de registro `MaxHeadersCount`, que limita el número de cabeceras en una solicitud **HTTP/2** o **HTTP/3**, junto con un boletín de soporte (KB5102602) que detalla su implementación. ### Bypass de BitLocker: La Vulnerabilidad YellowKey La tercera zero-day aborda un fallo de bypass de **Windows BitLocker**, que permite a los atacantes locales obtener acceso no autorizado a unidades cifradas. Si bien **Microsoft** atribuyó esta corrección a un investigador anónimo, ha sido identificada como la vulnerabilidad **YellowKey**, divulgada públicamente el mes pasado por el investigador de ciberseguridad **Nightmare Eclipse**. La vulnerabilidad **YellowKey** podría ser explotada colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el **Windows Recovery Environment (WinRE)**. Mantener presionada la tecla CTRL durante este proceso podría activar una consola de comandos con acceso sin restricciones a las unidades protegidas por **BitLocker**. Este fallo afecta principalmente a sistemas que utilizan protección **BitLocker solo con TPM** en dispositivos **Windows 11** y **Windows Server 2022/2025**. **Microsoft** había ofrecido previamente mitigaciones temporales, aconsejando a los usuarios que habilitaran la autenticación **TPM+PIN** en lugar de depender únicamente de la protección TPM. **Nightmare Eclipse** es conocido por divulgar públicamente una serie de vulnerabilidades zero-day de **Windows**, incluidas **BlueHammer**, **MiniPlasma**, **RedSun** y **UnDefend**. Estas divulgaciones se realizan, según se informa, como protesta por el manejo que hace **Microsoft** de sus programas de recompensas por errores y divulgación de vulnerabilidades. ## Más Allá de las Zero-Days: Vulnerabilidades Críticas Más allá de las zero-days de alto perfil, este **Patch Tuesday** incluye correcciones para numerosas otras vulnerabilidades críticas. Los 28 fallos de ejecución remota de código son particularmente preocupantes, ya que podrían permitir a los atacantes ejecutar código arbitrario en los sistemas afectados de forma remota, a menudo sin interacción del usuario. Se insta a los profesionales de la seguridad a priorizar estas actualizaciones para prevenir posibles compromisos de red. ## Llamada a la Acción Dada la amplitud y gravedad de las vulnerabilidades abordadas, se recomienda encarecidamente a los profesionales de la seguridad de TI y a los usuarios preocupados por la privacidad que apliquen estas actualizaciones del **Patch Tuesday de junio de 2026** de inmediato. El parcheo oportuno sigue siendo la defensa más eficaz contra la explotación por parte de actores de amenazas.