Histórico ‘Patch Tuesday’ de Microsoft en junio de 2026: 200 fallos corregidos y 3 días cero reparados

Las Tres Vulnerabilidades de Día Cero Reveladas

Un punto clave es que, para el alivio de muchos, ninguna de las tres vulnerabilidades de día cero había sido explotada activamente por ciberdelincuentes antes del lanzamiento de los parches . Todas ellas, sin embargo, ya eran de conocimiento público, lo que elevaba el riesgo de ataques inminentes.

CVE-2026-45586 — Elevación de Privilegios en CTFMON (GreenPlasma)

Esta es una falla de “seguimiento de enlaces” (link following) en el servicio de Windows Collaborative Translation Framework (CTFMON). Permite a un atacante autenticado que ya tiene acceso al sistema escalar sus privilegios localmente hasta el máximo nivel, SYSTEM. Aunque Microsoft listó al reportero como anónimo, la comunidad de investigadores de seguridad lo identificó rápidamente como el exploit “GreenPlasma”, liberado públicamente por un investigador identificado como Nightmare Eclipse (también conocido en foros como “Chaotic Eclipse”). Esta divulgación fue parte de una campaña para protestar por el funcionamiento de los programas de recompensas por errores (bug bounty) y divulgación de vulnerabilidades de Microsoft .

CVE-2026-49160 — Denegación de Servicio en HTTP.sys (la “Bomba HTTP/2”)

Apodada la “Bomba HTTP/2”, esta vulnerabilidad de consumo descontrolado de recursos (CWE-400) en la pila del protocolo HTTP/2 recibió una puntuación CVSS de 7.5. Un atacante remoto no autenticado puede enviar una cantidad mínima de datos que obliga al servidor a asignar una cantidad de memoria desproporcionadamente grande. Manipulando la configuración de control de flujo de HTTP/2, el atacante puede mantener esa memoria ocupada indefinidamente . Descubierta por Quang Luong y Codex de Calif.io, esta técnica de ataque es capaz de dejar fuera de línea servidores web afectados (como los que usan Microsoft IIS) en cuestión de segundos . Como medida de mitigación, Microsoft introdujo una nueva clave de registro llamada MaxHeadersCount (documentada en el artículo KB5102602) para limitar las cabeceras de las peticiones HTTP/2 y HTTP/3 .

CVE-2026-50507 — Omisión de Seguridad en BitLocker (YellowKey)

Esta es una falla en el mecanismo de protección que permite a un atacante no autenticado con acceso físico al equipo saltarse el cifrado BitLocker. El ataque explota el Entorno de Recuperación de Windows en unidades que solo usan el chip TPM para el descifrado. Esta fue la segunda vulnerabilidad de la campaña de Nightmare Eclipse corregida durante el mes, conocida públicamente como “YellowKey” .

La Campaña de Nightmare Eclipse contra Microsoft

El investigador Nightmare Eclipse lanzó públicamente una ola de días cero de Windows — con nombres como BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma y YellowKey — como protesta por la gestión de Microsoft de su programa de recompensas. Mientras que los parches de junio abordaron GreenPlasma y YellowKey, otros tres exploits de la misma campaña (BlueHammer, RedSun y UnDefend) fueron reportados como activamente explotados a principios de junio, lo que llevó a la agencia estadounidense CISA a añadirlos a su catálogo de Vulnerabilidades Conocidas y Explotadas .

Novedades para los Usuarios en Windows 11

Las actualizaciones acumulativas obligatorias de junio para Windows 11 llegaron con algo más que parches de seguridad. Se lanzaron dos actualizaciones principales: KB5094126 para las versiones 25H2 y 24H2, y KB5093998 para la versión 23H2 . Además, se lanzó una actualización de seguridad extendida, KB5094127, para Windows 10 .

Tras instalar la actualización, los usuarios de Windows 11 pueden disfrutar de nuevas funciones importantes :

• Modo Xbox: Una experiencia que asemeja la interfaz de una consola Xbox en el PC, ahora disponible en más dispositivos.
• Audio Compartido: Permite que dos personas escuchen la misma transmisión de audio desde un mismo PC de forma simultánea usando Bluetooth LE Audio.
• Monitorización de NPU en el Administrador de Tareas: La herramienta ahora muestra el uso de la NPU (Unidad de Procesamiento Neuronal), la memoria dedicada y compartida, y otras métricas para procesos de inteligencia artificial.
• Cámara Multiaplicación: Permite que varias aplicaciones accedan a la transmisión de la cámara al mismo tiempo.
• Mejoras de Rendimiento: Un nuevo perfil de baja latencia acelera el lanzamiento de aplicaciones y las interacciones con la interfaz del sistema como el menú Inicio, la Búsqueda y el Centro de Actividades.
• Mejoras en la Configuración Inicial: Ahora es posible elegir un nombre personalizado para la carpeta de usuario durante la instalación de Windows.

El Panorama General de Seguridad y la Respuesta de la Industria

El ‘Patch Tuesday’ de junio fue un día de actualizaciones masivas en toda la industria tecnológica. El mismo día, Adobe lanzó 11 avisos de seguridad para tapar la friolera de 123 vulnerabilidades en productos como Acrobat Reader, ColdFusion, InDesign y Experience Manager. De ellas, 47 fueron calificadas como Críticas, con el potencial de permitir ejecución de código arbitrario, escalada de privilegios o denegación de servicio .

En conjunto, Microsoft y Adobe publicaron correcciones para un total de 329 vulnerabilidades en un solo día, el 9 de junio de 2026, lo que lo convirtió en una jornada excepcionalmente intensa para los administradores de sistemas de todo el mundo . A esto se sumó que, a principios de mes, Google ya había parcheado una cifra récord de 360 fallos en Microsoft Edge/Chromium, vulnerabilidades que quedan fuera del conteo estándar del ‘Patch Tuesday’ de Microsoft .