Parches de abril para Windows: vulnerabilidades y fallos de seguridad

Portada » Windows » Parches de abril para Windows: vulnerabilidades y fallos de seguridad

Los parches de abril para Windows han llegado cargados de novedades, tanto en el lado positivo de la seguridad como en el menos agradable de los bugs y errores de estabilidad. Microsoft mantiene su cita mensual con el ya clásico Patch Tuesday, pero esta vez el paquete viene especialmente denso: decenas de vulnerabilidades corregidas, varias consideradas críticas, dos Zero Day y, a la vez, problemas serios en algunos controladores de dominio y en equipos con BitLocker o Windows 11 recientes. Un combo que obliga a tomarse estas actualizaciones muy en serio.

En este contexto, administradores de sistemas, responsables de seguridad y usuarios avanzados se encuentran otra vez ante el eterno dilema: aplicar los parches en cuanto aparecen o esperar unos días para ver si traen problemas de regalo. Vamos a desgranar en detalle qué incluye este Patch Tuesday de abril, qué fallos corrige, qué errores está provocando en ciertos escenarios, cómo afectan a Windows 10, 11 y Windows Server, y qué recomendaciones prácticas conviene seguir para no convertir una actualización de seguridad en un quebradero de cabeza.

Qué trae el Patch Tuesday de abril para Windows

En abril, Microsoft ha publicado un lote de parches de seguridad especialmente voluminoso para Windows y otros productos clave como Office, SharePoint Server y Defender. Esta oleada de actualizaciones forma parte del ciclo habitual del segundo martes de cada mes, cuando la compañía libera correcciones para vulnerabilidades recién descubiertas o ya conocidas.

En esta ocasión, la compañía ha solucionado 167 vulnerabilidades en total (en algunos recuentos, 165), convirtiendo este lanzamiento en uno de los más grandes de los últimos tiempos. La cifra lo sitúa entre los Patch Tuesday con mayor número de fallos corregidos en la historia de Microsoft, algo que refleja tanto la complejidad actual del ecosistema como la presión creciente sobre la superficie de ataque de Windows.

Dentro de ese conjunto hay ocho vulnerabilidades catalogadas como críticas, siete de ejecución remota de código (RCE) y una de denegación de servicio. Además, se han abordado dos fallos considerados Zero Day, uno ya explotado activamente en ataques reales y otro del que existía código público de explotación antes de la publicación del parche.

En el apartado de sistemas operativos de escritorio, Windows 11 recibe las actualizaciones KB5083769 (para 24H2 y 25H2) y KB5082052 (para 23H2), mientras que Windows 10, ya en su tramo final de soporte en muchas ediciones, incorpora la actualización acumulativa KB5082200 a través del programa ESU (Extended Security Updates) para equipos aún cubiertos.

Para los administradores y usuarios que gestionan varios entornos a la vez, esto implica coordinar parches distintos según la versión exacta de Windows que se tenga desplegada, algo clave para evitar inconsistencias y sorpresas tras el reinicio.

Desglose de las vulnerabilidades corregidas

Si miramos el detalle técnico, las 167 vulnerabilidades corregidas cubren prácticamente todo el espectro de tipos de fallo que suelen afectar a Windows y servicios vinculados. Más allá de la etiqueta de «importantes» o «críticas», conviene prestar atención a la categoría concreta de cada una para entender el impacto real en el día a día.

Por un lado, se han parcheado 93 vulnerabilidades de elevación de privilegios. Este tipo de fallo no suele ser la puerta de entrada inicial, pero es el arma favorita de los atacantes una vez han conseguido ejecutar algo en el sistema. Les permite escalar desde una cuenta con pocos permisos hasta el control total de la máquina, comprometiendo aplicaciones, datos y, en entornos corporativos, incluso el propio dominio.

Además, Microsoft ha corregido 13 vulnerabilidades relacionadas con la omisión de funciones de seguridad. Aquí hablamos de errores que permiten saltarse controles o mecanismos de protección ya presentes en el sistema o en aplicaciones instaladas. No siempre son tan vistosos como una RCE, pero en combinación con otros fallos pueden abrir puertas muy peligrosas.

La parte más delicada para muchos equipos son las 20 vulnerabilidades de ejecución remota de código (RCE). Estos fallos permiten que un atacante ejecute código malicioso en un equipo sin necesidad de tener acceso físico, generalmente explotando servicios expuestos, componentes que procesan contenidos o funcionalidades accesibles a través de la red. Basta con que un proceso vulnerable reciba datos especialmente preparados para que haga justo lo que el atacante quiere.

En el terreno de la privacidad, el paquete de abril aborda 21 vulnerabilidades de divulgación de información. Aquí el objetivo de los adversarios es acceder a datos que no deberían estar a su alcance: información personal, credenciales, detalles técnicos internos del sistema o cualquier tipo de dato que pueda usarse para posteriores movimientos laterales o ataques más dirigidos.

También se incluyen 10 fallos de denegación de servicio (DoS), capaces de provocar bloqueos, reinicios o inoperatividad de determinados servicios o del propio sistema operativo. En entornos empresariales, una simple denegación de servicio puede suponer parones productivos y pérdida de disponibilidad en servicios críticos.

Por último, Microsoft ha corregido 9 vulnerabilidades de suplantación de identidad, que permiten a atacantes hacerse pasar por usuarios, servicios o recursos legítimos dentro del ecosistema Windows. Este tipo de fallos son especialmente preocupantes en entornos corporativos, donde la confianza entre componentes es clave para el funcionamiento diario.

Zero Day de abril: SharePoint Server y Microsoft Defender

Entre todas las vulnerabilidades, dos destacan por encima del resto por ser Zero Day, es decir, fallos conocidos y, en algunos casos, explotados activamente antes de que el parche esté disponible. Son las referencias CVE-2026-32201 y CVE-2026-33825, y conviene tenerlas muy presentes.

La referencia CVE-2026-32201 describe una vulnerabilidad de suplantación en Microsoft SharePoint Server. Está causada por una validación incorrecta de entradas dentro de la plataforma, lo que permite a un atacante sin autorización manipular la forma en que se presenta la información en un portal de SharePoint.

En la práctica, esto significa que un ciberdelincuente podría inyectar o modificar contenidos para que parezcan legítimos dentro de un entorno de colaboración, abriendo la puerta a ataques de phishing sofisticados, manipulaciones de datos internos o engaños dirigidos a usuarios que confían plenamente en lo que ven en su intranet.

El riesgo no se limita a mostrar mensajes falsos; un SharePoint manipulado puede convertirse en un vector perfecto para campañas de ingeniería social, aprovechando la confianza que el usuario deposita en su entorno corporativo. Por eso, el hecho de que esta vulnerabilidad ya se estuviera explotando en ataques reales convierte su parche en una prioridad máxima para cualquier organización que dependa de SharePoint Server.

La segunda Zero Day, CVE-2026-33825, afecta a Microsoft Defender y se clasifica como una vulnerabilidad de elevación de privilegios. En este caso, lo llamativo es que el código de explotación se publicó previamente en GitHub bajo el nombre BlueHammer por un investigador descontento con el proceso de coordinación de divulgación de Microsoft.

Este tipo de situaciones, en las que el exploit está disponible públicamente antes del parche, incrementan de manera considerable el riesgo, porque reducen la barrera de entrada para actores maliciosos con menos conocimientos técnicos. Aunque Microsoft ya ha corregido el fallo en este Patch Tuesday, los sistemas que aún no han instalado el parche siguen expuestos a un exploit fácil de encontrar.

Actualizaciones para Office: Word y Excel también en el punto de mira

Los parches de abril no se centran solo en el sistema operativo. Microsoft Office también recibe correcciones importantes, en particular para Word y Excel, dos de las aplicaciones más utilizadas tanto a nivel doméstico como profesional.

En este caso, se han solucionado fallos de ejecución remota de código en Office que pueden activarse simplemente al abrir documentos maliciosos o incluso al visualizar su contenido a través del panel de vista previa. Es decir, ni siquiera sería necesario abrir el archivo de forma tradicional para que el exploit se dispare.

Este tipo de vulnerabilidades encajan perfectamente con campañas de phishing basadas en adjuntos ofimáticos: el atacante envía un documento aparentemente inofensivo, el usuario lo abre (o lo previsualiza) y, sin más interacción, se ejecuta código malicioso en el equipo. Por eso, mantener Office actualizado es tan importante como parchar el propio Windows.

Aunque la información pública disponible no detalla todos los CVE concretos implicados en estos fallos de Office, el mensaje para los usuarios es claro: no basta con actualizar el sistema operativo, hay que asegurarse también de que la suite ofimática está al día, especialmente en entornos donde Word y Excel son la herramienta principal de trabajo.

Cómo actualizar Windows 11 y Windows 10 con los parches de abril

Una vez visto qué corrigen estos parches, la siguiente pregunta lógica es cómo aplicarlos de forma rápida y controlada, especialmente en Windows 11 y en equipos de Windows 10 aún bajo soporte extendido.

En la mayoría de instalaciones domésticas, lo normal es que Windows Update descargue e instale automáticamente los parches en cuanto están disponibles, o utilizar hotpatch para actualizar sin reiniciar. Muchas veces basta con reiniciar el equipo cuando el sistema lo solicite para que las actualizaciones se apliquen y el equipo quede protegido.

Para comprobar manualmente la situación en Windows 11, es recomendable abrir la aplicación de Configuración, ir a Windows Update y forzar una búsqueda de nuevas actualizaciones. En función de la versión instalada se deberían ver los siguientes paquetes principales:

• KB5083769 para equipos con Windows 11 24H2 y 25H2.
• KB5082052 para la versión Windows 11 23H2.
• KB5082200 como actualización acumulativa para Windows 10 a través del programa ESU.

En entornos profesionales es frecuente recurrir al Catálogo de actualizaciones de Microsoft para descargar los paquetes de forma manual. Desde allí se pueden obtener los ficheros correspondientes a cada KB y desplegarlos mediante herramientas de gestión centralizada, lo que facilita probar primero los parches en un grupo reducido de máquinas antes de extenderlos a toda la organización.

Conviene recordar que, aunque la tentación de posponer reinicios sea grande, dejar un parche de seguridad a medias es peor que no instalarlo. El sistema puede quedar en un estado intermedio poco estable o seguir siendo vulnerable a parte del problema que se pretende corregir.

Problemas detectados: controladores de dominio en bucle de reinicio

La cara menos amable de este Patch Tuesday de abril es que algunos entornos han empezado a reportar errores serios tras aplicar los parches, sobre todo en servidores que actúan como controladores de dominio.

En concreto, se ha observado que ciertas versiones de Windows Server 2025 y 2022 que usan funcionalidades de Privileged Access Management (PAM) pueden entrar en un ciclo de reinicios infinitos tras instalar la actualización de abril de 2026. El problema se produce después del reinicio necesario para completar la instalación del parche.

Según el análisis técnico, el fallo se origina en un conflicto entre LSASS (Local Security Authority Subsystem Service) y PAM. LSASS es el proceso encargado de validar credenciales y manejar la seguridad local y remota del sistema, mientras que PAM añade una capa de protección para restringir el movimiento lateral de atacantes dentro de la red.

Cuando se da este conflicto, el proceso de validación de credenciales falla, el sistema considera que se encuentra en un estado inestable y el controlador de dominio reinicia una y otra vez sin llegar a estabilizarse. En dominios donde ese controlador soporta servicios críticos de autenticación y directorio, el impacto puede ser enorme, llegando en el peor de los casos a dejar todo el dominio inoperativo.

La propia Microsoft ha reconocido el problema y recomienda a los administradores de TI afectados que contacten con el soporte oficial para aplicar mitigaciones específicas mientras llega un parche correctivo definitivo. Mientras tanto, algunas organizaciones están optando por soluciones temporales como desinstalar la actualización problemática en los controladores de dominio afectados o aislarlos del entorno hasta disponer de un remedio más estable.

Otros fallos tras los parches: BitLocker, arranques problemáticos y modo recuperación

Más allá de los controladores de dominio, los parches recientes también han provocado problemas en ciertos equipos de escritorio y portátiles, especialmente en el ámbito de Windows 11.

Por un lado, se ha detectado un bug que hace que algunos equipos con BitLocker pidan la clave de recuperación al inicio después de aplicar las actualizaciones de abril en Windows 10 y Windows 11. Aunque la compañía indica que el número de dispositivos afectados es limitado y que, en muchos casos, la clave solo se solicita una vez, el susto para los usuarios es importante, sobre todo si no tienen localizada esa clave.

El origen del problema parece estar en una configuración de directiva de grupo relacionada con el perfil de validación del TPM para firmware UEFI nativo. Concretamente, la combinación conflictiva se da cuando la política incluye el registro PCR7 y, a la vez, el estado de Secure Boot PCR7 Binding aparece como «Not Possible» en la información del sistema.

Como medida preventiva, Microsoft ha publicado instrucciones para desactivar o ajustar esa directiva de grupo antes de instalar la actualización, de forma que se evite el desencadenante del problema. En equipos ya afectados, se recomienda introducir la clave de recuperación, acceder al sistema y luego aplicar las mitigaciones propuestas para que no vuelva a ocurrir.

Por otro lado, y aunque corresponde a un caso previo, conviene recordar que Microsoft ya tuvo que publicar una actualización fuera de banda para corregir un fallo con la actualización de seguridad KB5058405 de mayo de 2025 en Windows 11 23H2. Esa actualización fuera de banda hacía que algunos sistemas entrasen en modo de recuperación y no arrancasen correctamente, obligando a la compañía a reaccionar con un hotfix específico.

Ese episodio, sumado a los errores actuales, refuerza la sensación entre muchos usuarios de que las actualizaciones de Windows se han convertido en una fuente recurrente de problemas, especialmente cuando afectan a componentes críticos como el arranque, el cifrado o la autenticación.

La tormenta perfecta: más parches, más vulnerabilidades y un ecosistema cada vez más complejo

Los fallos recientes en las actualizaciones de Windows no se producen en el vacío. El contexto general de la ciberseguridad en 2026 es especialmente agitado, con un crecimiento sostenido del número de vulnerabilidades reportadas y un escenario de amenazas cada vez más sofisticado.

Según análisis como el de Cisco Talos para el primer trimestre de 2026, los CVE totales han crecido alrededor de un 20% respecto al mismo periodo de 2025, con un pico especialmente pronunciado en marzo. El volumen no deja de aumentar y la tendencia apunta hacia arriba, no hacia un aplanamiento.

Buena parte del protagonismo lo están teniendo los ataques a la cadena de suministro de software. Casos que afectan a herramientas de análisis de código, librerías abiertas y componentes de IA se han convertido en el pan de cada día. La campaña de TeamPCP, por ejemplo, encadenó credenciales robadas de Trivy con movimientos hacia Checkmarx KICS, LiteLLM, Telnyx o Axios, recogiendo secretos de AWS, GCP, Azure, Kubernetes y sistemas de CI/CD a su paso.

En paralelo, se han visto incidentes como el troyanizado de Axios, una popular librería HTTP de JavaScript, con más de 100 millones de descargas semanales, a través de actores vinculados a Corea del Norte. Aquí el problema no fue un fallo técnico clásico, sino la confianza ciega en componentes que durante años se habían percibido como seguros.

Las Known Exploited Vulnerabilities (KEVs) se mantienen en cifras similares a 2025, pero con un cambio de composición relevante: aproximadamente un 20% están relacionadas con equipamiento de red (routers, firewalls, appliances VPN). Estos dispositivos, muchas veces desactualizados y parcheados con menos rigor que los servidores o estaciones de trabajo, se han convertido en un objetivo prioritario.

Casos como la Operación Masquerade del FBI contra APT28, que afectó a miles de routers domésticos MikroTik y TP-Link sin parchear, evidencian lo mucho que puede hacer un atacante cuando logra comprometer el perímetro de red. A todo esto se suma la denominada deuda técnica en seguridad: cerca de un 25% de los CVE que Talos monitoriza activamente son de 2024 o anteriores, algunos tan viejos como 2009. Las vulnerabilidades antiguas no desaparecen, simplemente esperan a que alguien las explote.

Por si fuera poco, ha nacido ya una categoría propia de vulnerabilidades de IA. Solo en el primer trimestre se han identificado más de un centenar de CVE relevantes en librerías de orquestación de modelos, proxies de LLM, frameworks de agentes y herramientas de evaluación. El compromiso de LiteLLM, una librería usada por millones de desarrolladores para conectar con múltiples modelos de IA, es un ejemplo clarísimo de cómo estas piezas se convierten en nuevos vectores de ataque.

Y sobre todo ello planea lo que algunos informes denominan el factor Mythos: modelos de IA avanzados capaces de identificar y explotar zero-days en sistemas operativos y navegadores cuando se les instruye para ello. Por ahora estas capacidades están en manos de un grupo reducido de organizaciones con fines defensivos, pero la historia de la ciberseguridad sugiere que la ventana entre defensores y atacantes no suele ser muy larga.

La experiencia real con Windows 11 en 2026: demasiados parches, poca confianza

Más allá de la teoría, lo que muchos usuarios están viviendo en 2026 con Windows 11 es una sensación de actualización constante y, a veces, poco fiable. Lo que debería ser un trámite rutinario se ha convertido en motivo de resignación para muchos administradores y usuarios finales.

Todo empezó con la actualización de seguridad de enero, que pronto empezó a mostrar problemas en algunos equipos, especialmente en entornos empresariales. Microsoft se vio obligada a lanzar una primera actualización de emergencia para solucionar fallos relacionados con el apagado y reinicio del sistema en Windows 11 23H2, sobre todo en la edición Enterprise.

Lejos de quedarse ahí, pocos días después apareció una segunda corrección fuera del ciclo habitual para abordar nuevos errores: bloqueos y cuelgues en aplicaciones ligadas a la sincronización y el almacenamiento en la nube, como OneDrive o Dropbox, principalmente en equipos con Windows 11 24H2 y 25H2.

Al mismo tiempo, Microsoft avisó a administradores de que estaba investigando problemas de arranque en algunas máquinas con esas versiones tras instalar la actualización de enero, sin tener aún un diagnóstico cerrado. El resultado ha sido un arranque de año con múltiples parches, reinicios frecuentes y una sensación de fatiga en muchos usuarios.

Desde la perspectiva del usuario final, esto se traduce en notificaciones constantes, reinicios programados y tiempos de espera mientras el sistema aplica cambios que no siempre aportan mejoras visibles. Para colmo, cuando esos parches introducen nuevos errores, la percepción de que Windows 11 todavía no ofrece la solidez esperada se refuerza.

Por qué es tan complicado que los parches de Windows vayan siempre finos

Para entender por qué vemos tantos problemas derivados de las actualizaciones, hay que mirar a la naturaleza misma del ecosistema Windows. No estamos ante un sistema cerrado tipo consola o dispositivo móvil muy controlado, sino ante un sistema operativo que debe convivir con millones de combinaciones posibles de hardware y software.

En el mundo real coexisten portátiles básicos, estaciones de trabajo de alta gama, equipos viejos, periféricos exóticos, drivers antiguos, antivirus de terceros, herramientas de seguridad avanzadas y un larguísimo etcétera. Probar todas las combinaciones posibles antes de publicar un parche es sencillamente imposible.

Esta fragmentación, a la que muchos se refieren coloquialmente como «el problema del ecosistema PC», hace que los errores sean inevitables. El reto no es tanto que no haya bugs, sino que no sean tan frecuentes ni tan graves como para erosionar la confianza en el proceso de actualización.

El momento, además, es especialmente delicado para Microsoft. Windows 10 se acerca al final de su soporte en muchas ediciones, y numerosas organizaciones están planificando o ejecutando ya la migración a Windows 11. Si lo que se percibe es que cada tanda de parches trae nuevos sobresaltos, el incentivo para retrasar ese salto e incluso mirar hacia otras plataformas aumenta.

En paralelo, los incidentes de seguridad mediáticos -como brechas en servicios de reservas online, filtraciones de datos de grandes empresas o ataques a infraestructuras críticas– han puesto la seguridad en el centro de la conversación. Las compañías deben parchar sí o sí para no quedarse expuestas, pero hacerlo implica navegar un ecosistema plagado de variables y dependencias.

Recomendaciones profesionales para gestionar los parches de abril (y los que vengan)

Con este panorama, la estrategia más sensata no es ni actualizar al minuto sin mirar, ni congelar los sistemas indefinidamente. La clave está en gestionar las actualizaciones con criterio y planificación, especialmente en entornos corporativos.

En primer lugar, conviene definir una política clara de actualizaciones. Esto incluye decidir qué tipo de parches se aplican de inmediato (por ejemplo, Zero Day explotadas activamente en entornos críticos), cuáles se prueban antes en un entorno controlado y qué ventanas horarias se reservan para mantenimiento.

Es extremadamente recomendable probar las actualizaciones en un grupo reducido de equipos piloto antes de un despliegue masivo. Este grupo debería incluir máquinas representativas de las configuraciones más sensibles: controladores de dominio, servidores de aplicaciones clave, equipos con software de terceros crítico, etc.

Las ventanas de mantenimiento fuera del horario productivo también son fundamentales. Aplicar parches a las 10 de la mañana de un lunes en un servidor de dominio, por ejemplo, es casi pedir que cualquier problema tenga impacto directo en la actividad diaria.

Al mismo tiempo, no se puede caer en la tentación de ignorar las actualizaciones de seguridad por miedo a los errores. La superficie de ataque de un sistema sin parches es infinitamente más peligrosa que las molestias puntuales de un reinicio o un bug esporádico. La solución pasa por combinar buenas prácticas de testeo, copias de seguridad fiables y monitorización continua.

Si se detecta que los equipos con Windows 11 están recibiendo demasiadas solicitudes de actualización o se observan incidencias recurrentes tras los últimos parches, es un buen momento para revisar la estrategia general: ajustar los canales de actualización, definir mejor los anillos de despliegue y, si hace falta, contar con soporte especializado que ayude a minimizar riesgos y asegurar la continuidad del negocio. También puede ser útil desactivar las actualizaciones temporalmente en equipos no críticos mientras se evalúan los parches.

Para usuarios domésticos que no quieran complicarse demasiado, una opción razonable es retrasar los parches algunas semanas desde Configuración > Windows Update, usando la opción de pausar durante varios días. Esto da margen para que Microsoft corrija errores graves detectados a los pocos días, sin renunciar a aplicar las correcciones de seguridad en un plazo razonable.

En definitiva, los parches de abril para Windows ilustran a la perfección la tensión permanente entre seguridad y estabilidad en el ecosistema Microsoft: un volumen récord de vulnerabilidades corregidas, dos Zero Day de alto impacto, mejoras importantes en Office y Defender… pero también bucles de reinicio en controladores de dominio, sustos con BitLocker y una creciente sensación de «fatiga de parches» en usuarios y administradores. Entender qué corrigen, qué pueden romper y cómo gestionarlos de forma profesional es hoy parte imprescindible del trabajo de cualquier persona que tenga a Windows en el centro de su infraestructura.