- El Patch Tuesday de febrero corrige 58 vulnerabilidades en productos Microsoft, seis de ellas ya explotadas activamente.
- Windows 11 recibe la actualización KB5077181 con mejoras como Cross-Device Resume, nuevo menú Inicio y ajustes de seguridad.
- Destacan los fallos de día cero en Windows Shell, Internet Explorer/MSHTML, Office, Desktop Window Manager, RDP y Remote Access.
- Las empresas europeas deben priorizar los parches de elevación de privilegios y bypass de SmartScreen, IE y Word, junto con los bugs de Azure y GitHub Copilot.
Microsoft ha publicado su paquete mensual de parches de seguridad correspondiente al Patch Tuesday de febrero, una cita que este año llega con un volumen elevado de vulnerabilidades corregidas y varios fallos ya explotados en ataques reales. Además de los arreglos de seguridad, la compañía ha aprovechado para introducir novedades importantes en Windows 11 que afectan al rendimiento, la integración con el móvil y la gestión de la seguridad.
En total, la firma estadounidense aborda en este ciclo alrededor de 58 nuevas vulnerabilidades (hasta 62 CVE si se cuentan componentes de terceros) distribuidas entre Windows, Office, Azure, Edge, Exchange, Hyper-V, el Subsistema de Windows para Linux (WSL), GitHub Copilot y otros productos. Para administradores de sistemas en España y el resto de Europa, este Patch Tuesday supone un mes de trabajo intenso, con varios parches que conviene priorizar sin dejarlo para más adelante.
KB5077181 para Windows 11: nuevas funciones y más de 4 GB de descarga
Entre las actualizaciones destacadas se encuentra KB5077181 para Windows 11, que eleva el sistema a la Build 26200.7840 en la versión 25H2 y a la Build 26100.7840 en 24H2. Esta actualización forma parte del Patch Tuesday de febrero y combina mejoras funcionales con correcciones de seguridad para decenas de vulnerabilidades detectadas en el sistema y sus componentes.
El paquete supera los 4 GB de tamaño, algo poco habitual en un parche mensual, y Microsoft lo justifica por la inclusión de modelos de inteligencia artificial locales como Phi. Eso sí, estas capacidades de IA solo se activan en equipos con unidades de procesamiento neuronal (NPU) de más de 40 TOPS, por lo que muchos ordenadores de gama media seguirán funcionando sin estas funciones extra por ahora.
En una conexión doméstica de fibra de unos 200 Mbps, la descarga puede rondar los 10 minutos, a los que hay que sumar el tiempo de instalación y reinicio. En entornos corporativos con políticas de actualización centralizadas, es importante tener en cuenta este tamaño a la hora de planificar las ventanas de mantenimiento, especialmente en redes con múltiples sedes en España o la UE.
Además de los cambios visibles, KB5077181 incorpora correcciones a problemas de estabilidad recientes, como el fallo de pantalla negra en equipos con GPU NVIDIA que se había introducido en las actualizaciones de enero y que afectaba tanto al arranque del sistema como a la ejecución de algunos juegos.
Cross-Device Resume, nuevo menú Inicio y cambios en seguridad de Windows 11
En el apartado de funcionalidades, la novedad más llamativa es Cross-Device Resume, una característica que recuerda bastante al Handoff de Apple y que permite continuar tareas del móvil en el PC con Windows 11. Hasta ahora solo se podía retomar fácilmente archivos almacenados en OneDrive, pero con la actualización la función se amplía de forma notable.
Tras aplicar el parche, es posible reanudar sesiones de Spotify, documentos de Office y pestañas del navegador iniciadas en el teléfono Android directamente en el equipo de sobremesa o el portátil. La compatibilidad está orientada a móviles de fabricantes como Samsung, Xiaomi, HONOR, vivo u OPPO, bastante extendidos en el mercado europeo, lo que facilita que muchos usuarios puedan aprovechar la integración sin cambiar de terminal.
Otra mejora interesante se centra en Windows MIDI Services, pensada sobre todo para creadores musicales y profesionales del audio. El sistema añade soporte para MIDI 2.0 y permite que varias aplicaciones compartan el mismo puerto MIDI de manera simultánea. Hasta ahora, cuando un programa se hacía con el control del dispositivo, bloqueaba su uso para el resto, lo que complicaba la vida a quienes trabajan con varios DAW o herramientas a la vez.
En el plano de la seguridad, Microsoft ha flexibilizado el manejo de Smart App Control, la función que bloquea software no considerado de confianza. Hasta este mes, activar o desactivar esta protección en Windows 11 implicaba, en la práctica, reinstalar por completo el sistema operativo, un proceso nada trivial para una PyME o un departamento de TI. Con la nueva versión, el cambio se puede realizar directamente desde Seguridad de Windows, aunque la opción se está desplegando de forma gradual.
El menú Inicio de Windows 11 también recibe un rediseño más extendido tras un año de pruebas. Ahora puede mostrar todas las aplicaciones en una sola página y, en determinados equipos, llega a ocupar cerca del 70 % de la pantalla. Microsoft no parece tener intención de reducir ese tamaño por ahora, algo que puede resultar cómodo para pantallas grandes y quizá algo exagerado en portátiles pequeños. Paralelamente se incorpora una «Device Card» en Configuración que ofrece una visión rápida de las especificaciones del equipo sin tener que navegar por varios menús.
En el apartado de administración, un cambio que no está pasando desapercibido es que la sección de Almacenamiento ahora exige permisos de administrador para abrirse. Esta modificación de seguridad impide, de momento, que usuarios estándar eliminen ciertos archivos temporales de Windows Update desde la interfaz habitual. Mientras Microsoft corrige este comportamiento, se recomienda recurrir al clásico Liberador de espacio en disco para las tareas de limpieza.
Seis vulnerabilidades de día cero ya explotadas en el entorno Windows
Más allá de las novedades visibles, el foco principal del Patch Tuesday de febrero está en la corrección de seis vulnerabilidades de día cero que se estaban explotando activamente. Tres de ellas, además, ya eran de dominio público, lo que incrementa el riesgo de que atacantes menos sofisticados las aprovechen.
En conjunto, Microsoft ha publicado este mes parches para 58 nuevas CVE que afectan a Windows, componentes de Windows, Office y Office 365, Azure, Edge basado en Chromium, .NET y Visual Studio, GitHub Copilot, Hyper-V, Exchange Server, Internet Explorer, Power BI y WSL, entre otros. Sumando las actualizaciones de terceros y Chromium, la cifra total se eleva a 62 vulnerabilidades. En especial, conviene revisar las relacionadas con Office y Office 365 por su impacto en entornos corporativos.
De ese conjunto, cinco fallos se consideran Críticos y la mayoría se han clasificado como Importantes, con dos catalogados como Moderados. Lo que más llama la atención a analistas de seguridad en Europa es el número inusualmente alto de vulnerabilidades bajo explotación activa, después de un enero en el que apenas se registró un bug de este tipo pese a haber más CVE corregidas.
Las seis vulnerabilidades marcadas como día cero abarcan desde bypass de medidas de seguridad en Windows y Office hasta elevaciones de privilegios en servicios de escritorio remoto y en el gestor de ventanas, pasando por un fallo de denegación de servicio en el servicio de acceso remoto. Para administradores que gestionan parques de equipos en empresas o administraciones públicas españolas, su mitigación debería situarse en la parte alta de la lista de tareas.
Entre los fallos críticos e importantes que ya se estaban explotando figuran también dos vulnerabilidades en Microsoft ACI Confidential Containers (CVE‑2026‑21522 y CVE‑2026‑23655), orientadas a entornos de contenedores confidenciales en la nube de Azure. Una de ellas permite elevación de privilegios y la otra exposición de información sensible como claves o tokens, algo especialmente sensible en organizaciones que manejan datos protegidos por el RGPD.
Detalles de los fallos más sensibles: Shell, IE/MSHTML, Office y privilegios locales
Dentro del conjunto de vulnerabilidades arregladas este mes, varias destacan por su impacto directo sobre la seguridad del puesto de trabajo y por su potencial para ser combinadas en cadenas de ataque más complejas. Microsoft y diferentes equipos de investigación recomiendan prestarles especial atención.
En primer lugar, CVE‑2026‑21510 es una vulnerabilidad de bypass de medidas de seguridad en Windows Shell y SmartScreen. Un atacante puede conseguir que el usuario abra un acceso directo o enlace malicioso, saltándose los avisos de seguridad de Windows y logrando ejecutar código en el sistema con tan solo un clic. Este tipo de fallos resulta especialmente atractivo para campañas de phishing dirigidas a empleados.
Muy relacionada se encuentra CVE‑2026‑21513, una vulnerabilidad de bypass en el marco MSHTML e Internet Explorer. Aunque IE lleve años en retirada, sigue estando presente en muchos sistemas y su invocación continúa generando problemas. El fallo permite que, al abrir un archivo HTML o LNK especialmente manipulado, se eludan controles de seguridad y se alcance la ejecución de código. Tanto este bug como el de Shell están marcados como públicamente revelados.
En el ámbito de Office, CVE‑2026‑21514 afecta a Microsoft Word y Office 365. El problema radica en la confianza indebida en entradas no verificadas, lo que permite a un atacante burlar las mitigaciones OLE que protegen frente a controles COM/OLE peligrosos. El ataque requiere que la víctima abra un documento de Office malicioso, pero no se puede utilizar el panel de vista previa como vector, lo que reduce ligeramente el riesgo, aunque no lo elimina.
Por otro lado, CVE‑2026‑21519 es una vulnerabilidad de type confusion en Desktop Window Manager (DWM) que permite a un atacante ya autenticado elevar privilegios hasta nivel SYSTEM. En la práctica, este tipo de bug suele combinarse con una vulnerabilidad de ejecución de código remoto para tomar el control total del sistema comprometido.
En la misma línea de elevación de privilegios está CVE‑2026‑21533, que afecta a Windows Remote Desktop Services. El fallo se atribuye a una gestión incorrecta de privilegios y puede ser utilizado para que un atacante obtenga permisos SYSTEM en equipos donde RDS esté habilitado. Este tipo de servidores, habituales en organizaciones que trabajan con escritorios remotos en España y Europa, son objetivos especialmente jugosos para movimientos laterales dentro de la red.
Por último, CVE‑2026‑21525 introduce una denegación de servicio (DoS) en Windows Remote Access Connection Manager mediante una desreferencia de puntero nulo. Aunque se trata de un fallo de severidad moderada, resulta llamativo que se haya detectado ya su explotación en la práctica. No está claro si el servicio afectado se reinicia automáticamente tras el fallo, por lo que lo prudente es aplicar el parche cuanto antes.
Otros parches relevantes: Azure, Notepad, Hyper-V y GitHub Copilot
Además de las vulnerabilidades de día cero, el boletín de febrero incluye correcciones importantes en servicios de nube y herramientas de desarrollo, que también pueden tener impacto en organizaciones europeas que adoptan entornos híbridos o de trabajo en remoto.
En el ámbito de Azure, destaca CVE‑2026‑21228, un problema de validación incorrecta de certificados en Azure Local. Un atacante no autenticado podría aprovechar comunicaciones poco protegidas entre la aplicación de configuración y los sistemas objetivo para inyectar comandos con privilegios de administrador y extraer tokens de Azure desde los registros. Esto abre la puerta a movimientos laterales dentro de entornos cloud multiinquilino, algo especialmente delicado en infraestructuras compartidas.
Microsoft también ha solucionado una vulnerabilidad de ejecución remota de código en Notepad (CVE‑2026‑20841). El ataque consiste en conseguir que el usuario haga clic en un enlace malicioso dentro de un archivo Markdown abierto en el bloc de notas, provocando la ejecución de protocolos no confiables y la descarga de contenido remoto. Aunque Notepad se perciba como una aplicación sencilla, este tipo de errores demuestra que también puede ser una vía de entrada.
En Windows Hyper‑V se corrigen, entre otros, CVE‑2026‑21244 y CVE‑2026‑21248, que permiten ejecución arbitraria de código de forma local. La explotación suele requerir code execution previa, por ejemplo convenciendo a un usuario para abrir un archivo de Office malicioso. Sin embargo, en servidores de virtualización utilizados por proveedores o grandes empresas europeas, cualquier hueco en Hyper‑V es especialmente sensible.
Por último, el ecosistema de GitHub Copilot y Visual Studio Code también recibe su propia ronda de parches. Entre las vulnerabilidades más destacadas figuran CVE‑2026‑21516, CVE‑2026‑21523 y CVE‑2026‑21256, relacionadas con ejecución arbitraria de código y problemas de inyección de comandos por manejo inadecuado de caracteres especiales. En entornos de desarrollo donde Copilot se ha integrado de forma masiva, especialmente en equipos distribuidos por toda Europa, este tipo de fallos merece una evaluación cuidadosa.
Más allá de la corrección de vulnerabilidades puntuales, Microsoft mantiene su plan para la desactivación progresiva de NTLM en favor de Kerberos en los sistemas más recientes, comenzando este año y continuando en futuras versiones de Windows y Windows Server. Se trata de un cambio estratégico que afectará a dominios y servicios heredados aún muy presentes en parte del tejido empresarial español, por lo que conviene ir inventariando y sustituyendo los usos de NTLM cuanto antes.
En conjunto, el Patch Tuesday de febrero viene cargado de ajustes de seguridad críticos, mejoras de funcionalidad en Windows 11 y cambios de fondo en servicios de nube y herramientas de desarrollo, lo que obliga a planificar con cuidado las ventanas de actualización, priorizar los parches de las seis vulnerabilidades explotadas activamente y testar los cambios en entornos de preproducción. Para organizaciones y usuarios en España y el resto de Europa, retrasar estas actualizaciones puede abrir la puerta a ataques que ya se están viendo en la práctica.
