El ciclo de actualizaciones de seguridad de Microsoft de febrero de 2026 se perfila como uno de los más relevantes de los últimos años: la compañía ha corregido 58 vulnerabilidades en Windows y Office, incluidas seis 0‑day ya explotadas o divulgadas públicamente, y ha iniciado una rotación global de certificados Secure Boot que afectará a la práctica totalidad del ecosistema Windows.
Patch Tuesday febrero 2026: alcance de las actualizaciones de seguridad de Microsoft
De las 58 vulnerabilidades corregidas, Microsoft clasifica cinco como críticas: tres de elevación de privilegios y dos de divulgación de información. El resto se catalogan como importantes, pero en conjunto cubren un amplio abanico de vectores: bypass de mecanismos de seguridad, ejecución de código, fuga de datos y denegación de servicio (DoS).
Siguiendo la terminología de Microsoft, se consideran 0‑day tanto los fallos conocidos antes de existir parche como aquellos para los que ya hay exploits funcionales. En este ciclo se han corregido seis 0‑day, de los que tres se habían hecho públicos con antelación: CVE‑2026‑21510, CVE‑2026‑21514 y CVE‑2026‑21513, todos centrados en saltarse controles de seguridad integrados en Windows y Office.
Rotación de certificados Secure Boot: impacto en la infraestructura Windows
Además de los parches de software, Microsoft ha iniciado una renovación por fases de los certificados raíz de Secure Boot, en uso desde 2011 y con fecha de caducidad a finales de junio de 2026. Según ha explicado el área de servicio de Windows, tras más de 15 años de funcionamiento continuo estos certificados alcanzan su final de vida útil y es necesaria una rotación planificada de claves de confianza a escala de ecosistema.
¿Qué es Secure Boot y por qué afecta al riesgo de malware de arranque?
Secure Boot es un mecanismo de seguridad definido en UEFI que verifica las firmas digitales de cargadores de arranque y controladores durante el inicio del sistema. Su objetivo es impedir que se ejecute código no firmado o manipulado, incluyendo bootkits y rootkits que intentan instalarse antes de que arranque Windows. En la práctica, establece una cadena de confianza desde el firmware hasta el núcleo del sistema operativo.
Microsoft indica que la mayoría de los equipos fabricados a partir de 2024 ya incorporan los nuevos certificados desde fábrica. Para muchos dispositivos en producción será necesario aplicar actualizaciones de firmware/UEFI del fabricante. De forma adicional, los nuevos certificados solo se desplegarán en sistemas que muestren estabilidad tras las últimas actualizaciones de Windows, para reducir riesgos de incompatibilidad.
Riesgos de retrasar la actualización de firmware en organizaciones
No aplicar estas actualizaciones de firmware puede provocar que, con el tiempo, los certificados Secure Boot antiguos generen problemas de arranque o choquen con nuevas políticas de seguridad. Para minimizar el riesgo, las organizaciones deberían inventariar su parque de hardware, revisar la web de soporte de cada fabricante y definir un proceso escalonado: pruebas en entornos de laboratorio, despliegue controlado en preproducción y, finalmente, en producción.
Seis vulnerabilidades 0‑day en SmartScreen, MSHTML y Microsoft Word
La vulnerabilidad CVE‑2026‑21510 afecta a Windows SmartScreen y Windows Shell y permite el bypass de Mark of the Web (MoTW). Un atacante puede ejecutar código malicioso sin las advertencias habituales si la víctima abre un enlace o archivo LNK específicamente preparado, evitando que Windows marque el contenido descargado de Internet como potencialmente peligroso.
CVE‑2026‑21513 constituye otro bypass de seguridad, esta vez en el motor MSHTML. Mediante un archivo HTML o LNK malicioso el atacante puede lograr ejecución de código, siempre que el usuario interactúe con el archivo. Los detalles técnicos se mantienen restringidos, algo habitual cuando existen campañas activas de explotación.
Por su parte, CVE‑2026‑21514 afecta a Microsoft Word y al mecanismo de protección OLE en Microsoft 365 y Office. Si la víctima abre un documento manipulado, el atacante puede eludir el bloqueo de controles COM/OLE vulnerables. Un matiz relevante es que el exploit no se dispara desde el panel de vista previa, lo que reduce el riesgo de infección pasiva al previsualizar correos.
Estas tres 0‑day han sido identificadas de forma conjunta por equipos internos de Microsoft, la Google Threat Intelligence Group (GTIG) y un investigador independiente. Dado que GTIG se centra en proveedores de spyware comercial y grupos APT estatales, es razonable asumir un uso preferente de estos fallos en campañas de espionaje dirigidas, más que en ataques masivos indiscriminados.
Elevación de privilegios y DoS: eslabones críticos de la cadena de ataque
La vulnerabilidad CVE‑2026‑21519 reside en Desktop Window Manager (DWM) y permite elevación de privilegios hasta nivel SYSTEM. Este tipo de fallos son especialmente valiosos tras un acceso inicial (por ejemplo, vía phishing o aprovechando otra 0‑day), ya que facilitan el control completo del equipo comprometido.
CVE‑2026‑21525 es una vulnerabilidad de denegación de servicio en Windows Remote Access Connection Manager, asociada a la desreferenciación de un puntero nulo. Permite provocar un fallo local del servicio. Investigadores de ACROS Security (0patch) localizaron un exploit para este fallo en un repositorio público de malware en diciembre de 2025, con un nivel de ingeniería que apunta a operadores profesionales.
Finalmente, CVE‑2026‑21533 afecta a Windows Remote Desktop Services y fue descubierta por CrowdStrike. Mediante la modificación de una clave de configuración, el atacante puede agregar una cuenta a los administradores locales. Aunque aún no se han atribuido campañas concretas, se espera un aumento del interés una vez que se documenten técnicas de explotación públicas, dado el valor de RDP en movimientos laterales.
Medidas prioritarias de mitigación y hardening
Como respuesta inmediata, se recomienda priorizar el despliegue de los parches de febrero de 2026 de Windows y Office, empezando por sistemas expuestos a Internet, servidores de Escritorio Remoto y estaciones de trabajo con privilegios elevados. Conviene además restringir la ejecución de scripts y archivos LNK, limitar el uso de macros de Office, habilitar controles como AppLocker o Windows Defender Application Control y reforzar la monitorización de eventos de cambios de privilegios y configuración de servicios, especialmente relacionados con RDP.
El Patch Tuesday de febrero de 2026 confirma una tendencia clara: las cadenas de ataque combinan bypass de controles nativos con elevaciones silenciosas de privilegios dentro de la red. Para reducir de forma sostenible la superficie de exposición, resulta esencial mantener al día Windows, Office, firmware UEFI y políticas de Secure Boot, complementarlo con una defensa en profundidad en los endpoints y establecer un proceso maduro de gestión de parches con pruebas, despliegues por fases y auditorías continuas. Es un momento oportuno para revisar la estrategia de actualización de la organización y convertir cada “martes de parches” en una rutina controlada y predecible, en lugar de una reacción de emergencia.
