Microsoft ha publicado parches de emergencia para corregir una vulnerabilidad crítica en Microsoft Office que, según la propia compañía, ya está siendo explotada activamente en ataques reales. El fallo afecta a prácticamente toda la gama moderna del paquete ofimático, desde Office 2016 y Office 2019 hasta Office 2021 y Microsoft 365 Apps for Enterprise, lo que eleva su impacto tanto en usuarios domésticos como en entornos corporativos.
Detalles técnicos de CVE-2026-21509 y por qué es una vulnerabilidad de alto riesgo
La vulnerabilidad, identificada como CVE-2026-21509, cuenta con una puntuación de 7,8 en la escala CVSS, catalogada como de nivel High. El problema está relacionado con un desvío de mecanismos de seguridad (security feature bypass) en el manejo de componentes COM/OLE, tecnología que Office utiliza para la interacción entre aplicaciones y objetos incrustados.
De acuerdo con Microsoft, el fallo se produce porque Office toma decisiones de seguridad basadas en datos de entrada no confiables. Esto abre la puerta a que un atacante no autenticado pueda eludir controles locales y forzar comportamientos que, en condiciones normales, deberían estar bloqueados. No se trata de una ejecución remota de código «clásica», pero sí de un eslabón muy valioso para los atacantes dentro de una cadena de compromiso más amplia.
Las vulnerabilidades catalogadas como security feature bypass suelen utilizarse para reforzar campañas de phishing o explotar documentos ya comprometidos. Permiten, por ejemplo, sortear restricciones añadidas tras el endurecimiento de macros o las políticas de archivos procedentes de Internet, incrementando significativamente el impacto de un documento malicioso.
Cómo se explota la vulnerabilidad a través de documentos maliciosos de Office
Para explotar CVE-2026-21509, el atacante debe preparar un documento de Office especialmente manipulado y lograr que la víctima lo abra manualmente. El escenario típico pasa por correos de phishing con un archivo adjunto o un enlace a un documento supuestamente legítimo (facturas, currículums, contratos o comunicaciones de «proveedores» y «socios»).
Un punto relevante es que el panel de vista previa no actúa como vector de ataque. Es decir, no basta con seleccionar el archivo en el Explorador de Windows: el usuario debe abrirlo explícitamente en Word, Excel, PowerPoint u otra aplicación afectada. Aun así, en organizaciones donde se gestionan a diario grandes volúmenes de documentos externos, este requisito no reduce de forma significativa el riesgo.
Los informes sectoriales, como el Verizon Data Breach Investigations Report, llevan años señalando que los documentos ofimáticos adjuntos a correos de phishing siguen siendo uno de los vectores más eficaces. En ediciones recientes del informe se destaca que alrededor de tres cuartas partes de las brechas de seguridad implican el factor humano, lo que convierte este tipo de fallo en un objetivo prioritario para los actores maliciosos.
Versiones de Microsoft Office afectadas y distribución de los parches
Según la información oficial, están afectados Office 2016, Office 2019, Office 2021 y Microsoft 365 Apps for Enterprise. En las ediciones más recientes, como Office 2021 y Microsoft 365, Microsoft ha optado por una gestión de la mitigación desde su infraestructura en la nube, aplicando cambios de configuración en el lado servidor.
En estos casos no es necesario instalar un parche independiente, pero sí es imprescindible reiniciar por completo las aplicaciones de Office para que los nuevos controles de seguridad entren en vigor. Esto reviste especial importancia en entornos con servidores de terminal, escritorios VDI o sesiones persistentes, donde los usuarios tienden a mantener Word o Excel abiertos durante semanas.
Para Office 2016 y Office 2019, Microsoft ha publicado actualizaciones de seguridad específicas disponibles desde el 26 de enero de 2026. Deben instalarse mediante Windows Update, soluciones corporativas de actualización o paquetes independientes. Retrasar su despliegue incrementa de forma directa la probabilidad de un incidente, dado que la vulnerabilidad ya se explota en entornos reales.
Medidas de mitigación adicionales: endurecimiento mediante el registro de Windows
Uso de COM Compatibility para bloquear el componente vulnerable
Como medida complementaria o temporal, Microsoft recomienda aplicar una mitigación basada en el registro de Windows. Concretamente, se debe crear una clave con el identificador {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} bajo la rama COM Compatibility y añadir el valor DWORD Compatibility Flags con el dato 0x400 (hexadecimal). Este ajuste restringe el uso del componente COM implicado en el escenario vulnerable.
Rutas de registro según la instalación de Office y precauciones
La ruta exacta de la clave varía según el tipo de instalación (MSI o Click-to-Run) y la arquitectura del sistema operativo. Para las configuraciones más habituales indicadas por Microsoft, las rutas de ejemplo son:
Para Office MSI de 64 bits en Windows de 64 bits:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
Para Office MSI de 32 bits en Windows de 64 bits:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
La manipulación del registro exige máxima precaución, ya que errores en estas claves pueden provocar inestabilidad o fallos en Office. En entornos corporativos, se recomienda probar primero la mitigación en un grupo piloto y después desplegarla de forma centralizada mediante Directivas de Grupo (GPO) o herramientas de gestión de configuración.
Descubrimiento de la vulnerabilidad y panorama actual de ataques
Microsoft indica que CVE-2026-21509 fue descubierta por equipos internos, entre ellos el Microsoft Threat Intelligence Center (MSTIC), el Microsoft Security Response Center (MSRC) y el equipo de seguridad de productos Office. Esta detección interna suele permitir reaccionar con rapidez y limitar la ventana de explotación masiva.
La compañía confirma que la vulnerabilidad ya está siendo utilizada por actores maliciosos, aunque no ha publicado detalles sobre los grupos implicados, el volumen de ataques o las cadenas completas de infección. Esta política de opacidad parcial es habitual: reducir la información pública dificulta que adversarios menos sofisticados reproduzcan los ataques a gran escala en poco tiempo.
En este contexto, las recomendaciones esenciales pasan por la instalación inmediata de los parches de Microsoft Office, el reinicio completo de todas las aplicaciones del paquete, la aplicación de la mitigación de registro cuando proceda y el refuerzo de la formación en phishing y manejo seguro de adjuntos. Mantener el software actualizado, tratar los documentos externos con desconfianza por defecto y definir políticas estrictas de apertura y edición de archivos siguen siendo algunas de las medidas más eficaces y de menor coste para reducir el impacto de vulnerabilidades como CVE-2026-21509.
