Microsoft Patch Tuesday Febrero 2026: 6 Zero-Days Explotados

Microsoft Patch Tuesday febrero 2026 corrige 54 vulnerabilidades en Windows, Office y Azure, incluyendo 6 zero-days explotados activamente antes del parche. CISA añadió los seis CVE al catálogo KEV y ha fijado el 3 de marzo de 2026 como fecha límite para que las agencias federales apliquen las actualizaciones. En este artículo resumimos los CVE críticos, el impacto de cada zero-day y las medidas recomendadas. Más noticias en Vulnerabilidades.

¿Qué incluye el Microsoft Patch Tuesday febrero 2026?

El Microsoft Patch Tuesday febrero 2026 se publicó el 10 de febrero de 2026. Microsoft aborda 54 CVE en total: 2 críticos, 51 importantes y 1 moderado. De ellos, seis corresponden a zero-days explotados en la naturaleza antes de disponer de parche; tres habían sido divulgados públicamente antes de la corrección, lo que aumenta la presión para actualizar cuanto antes. La distribución por tipo de fallo incluye un alto porcentaje de escalada de privilegios (en torno al 43%) y un 20% aproximado de ejecución remota de código (RCE), según análisis de Tenable y Rapid7. Si gestionas parques Windows o servicios Azure, este ciclo de parches es uno de los que no conviene retrasar.

Contexto similar al de otras vulnerabilidades críticas recientes: en Fortinet FortiOS CVE-2026-24858 y en la vulnerabilidad WordPress CVE-2026-23550 también se ha observado explotación activa con puntuación CVSS muy alta. Mantener sistemas parcheados y revisar el catálogo Known Exploited Vulnerabilities de CISA ayuda a priorizar. El Microsoft Patch Tuesday febrero 2026 concentra en un solo ciclo seis de estas amenazas activas, por lo que la recomendación es planificar la ventana de mantenimiento lo antes posible.

Los 6 zero-days del Microsoft Patch Tuesday febrero 2026

Los seis zero-days cubiertos en esta edición del Patch Tuesday son los siguientes.

CVE-2026-21510 (CVSS 8,8). Bypass de seguridad en Windows Shell, explotado activamente y divulgado en público antes del parche. Permite eludir protecciones de SmartScreen y advertencias del Shell; el atacante puede engañar al usuario para que abra enlaces o accesos directos maliciosos. Requiere interacción del usuario pero elimina capas de defensa importantes.

CVE-2026-21513 (CVSS 8,8). Bypass en el motor MSHTML (Internet Explorer). También zero-day explotado y divulgado antes de la corrección. Afecta al renderizado de contenido HTML/HTA; abrir un archivo HTML o shortcut malicioso puede ejecutar código sin las advertencias habituales de SmartScreen. Ambos CVE-2026-21510 y CVE-2026-21513 se encuadran en bypass de características de seguridad.

CVE-2026-21514 (CVSS 7,8). Bypass en Microsoft Word. Permite evadir restricciones de seguridad en la apertura de documentos; explotado en la naturaleza antes del parche de febrero de 2026.

CVE-2026-21519 (CVSS 7,8). Escalada de privilegios en Desktop Window Manager (DWM). Un atacante con acceso local podría elevar privilegios en el sistema afectado.

CVE-2026-21533 (CVSS 7,8). Escalada de privilegios en Remote Desktop Services (RDS). Es uno de los más graves en términos de uso real: CrowdStrike ha documentado explotación activa contra organizaciones en EE.UU. y Canadá desde al menos el 24 de diciembre de 2025. Un atacante autenticado en la máquina puede elevar privilegios hasta SYSTEM y crear cuentas de administrador. Cualquier sistema con RDS expuesto o con acceso RDP comprometido es un vector claro. CISA incluyó este CVE y el resto de zero-days en su catálogo KEV con fecha límite de parcheado el 3 de marzo de 2026 para las agencias federales.

CVE-2026-21525 (CVSS 6,2). Denegación de servicio en Remote Access Connection Manager. Aunque la puntuación es menor, forma parte del conjunto de zero-days explotados y queda cubierto en el mismo ciclo de parches.

Recomendaciones tras el Microsoft Patch Tuesday febrero 2026

Prioriza la aplicación de las actualizaciones de febrero de 2026 en todos los sistemas Windows, componentes Office y servicios Azure afectados. Comprueba que los equipos con Remote Desktop Services (RDS) o RDP estén actualizados y, si es posible, restringe el acceso por red (VPN, segmentación) y refuerza la autenticación. Revisa en el NVD y en el boletín de Microsoft Security Update Guide las versiones exactas de producto y compilaciones que reciben el parche. Google Threat Intelligence Group colaboró en el descubrimiento de varias de estas vulnerabilidades; la coordinación entre fabricantes y equipos de investigación sigue siendo clave para reducir la ventana de exposición.

Para entornos que no puedan parchar de inmediato, valora medidas de mitigación temporal (deshabilitar RDP donde no sea estrictamente necesario, políticas de aplicación de software, segmentación) mientras se planifica la ventana de mantenimiento. Esta edición incluye además correcciones en Exchange Server, Azure y otros productos; conviene revisar la nota de publicación completa en el Security Update Guide de Microsoft. En el blog hemos cubierto otros episodios de zero-days y vulnerabilidades críticas, como el VMware ESXi zero-day y la vulnerabilidad N8n Ni8mare; en todos los casos la recomendación es aplicar parches y seguir el catálogo KEV de CISA.

Conclusión

El Microsoft Patch Tuesday febrero 2026 es uno de los ciclos más relevantes del año por el número de zero-days explotados activamente (6) y por la inclusión de CVE en RDS y SmartShell con uso confirmado en ataques. Aplicar las actualizaciones antes del 3 de marzo de 2026 en entornos bajo obligación CISA, y en el menor plazo posible en el resto de infraestructuras, reduce el riesgo de compromiso. Mantente al día con las categorías de vulnerabilidades y ransomware en tutorialesdevops.es para más análisis de amenazas y parches.

FAQ Microsoft Patch Tuesday febrero 2026

¿Cuántas vulnerabilidades corrige el Microsoft Patch Tuesday febrero 2026? Microsoft corrige 54 CVE en este ciclo: 2 críticos, 51 importantes y 1 moderado. Seis de ellos son zero-days explotados antes del parche.

¿Cuál es la fecha límite de CISA para parchear? CISA ha establecido el 3 de marzo de 2026 como fecha límite para que las agencias federales estadounidenses apliquen los parches de los seis zero-days del Microsoft Patch Tuesday febrero 2026.

¿Qué CVE es el más crítico por su explotación real? CVE-2026-21533 (Remote Desktop Services) está confirmado en explotación desde al menos diciembre de 2025 contra entidades en EE.UU. y Canadá. Permite escalada de privilegios hasta SYSTEM.

¿Dónde consulto el listado oficial de CVE explotados? En el catálogo KEV de CISA: Known Exploited Vulnerabilities Catalog. Ahí aparecen los seis zero-days del Microsoft Patch Tuesday febrero 2026 con fecha límite de remediación.

¿Afecta a Office y Azure? Sí. El Microsoft Patch Tuesday febrero 2026 incluye parches para Windows, Office (por ejemplo Word con CVE-2026-21514), Exchange Server, Azure y otros productos. Revisa el Security Update Guide de Microsoft para tu versión exacta.