Saltar al contenido
OndaCorta

Microsoft parchea 570 fallas de seguridad, un récord impulsado por IA

El Patch Tuesday de julio de 2026 casi triplicó al del mes anterior. Microsoft atribuye el salto al uso de inteligencia artificial para detectar vulnerabilidades.

Redacción Onda Corta · · 3 min de lectura

Microsoft lanzó el martes 14 de julio de 2026 su actualización mensual de seguridad, conocida como Patch Tuesday, con parches para 570 vulnerabilidades: la cifra más alta en la historia del programa y casi el triple de las más de 200 corregidas un mes antes. La empresa atribuyó el salto al uso de inteligencia artificial para detectar fallas que llevaban años, o décadas, sin descubrirse en su código.

Del total, cerca de 60 fallas recibieron calificación "crítica", lo que significa que un atacante podría tomar control remoto de un equipo Windows con poca o ninguna intervención del usuario. Microsoft también corrigió tres vulnerabilidades de día cero, dos de las cuales ya estaban siendo explotadas antes de que existiera el parche.

Entre las fallas de escalamiento de privilegios corregidas este mes, que en conjunto suman unas 250 (casi la mitad del total), Microsoft destacó CVE-2026-56155, en Active Directory Federation Services, y CVE-2026-56164, en el servidor de archivos SharePoint. Esta última ya estaba siendo explotada activamente: la agencia de ciberseguridad de Estados Unidos, CISA, la había sumado a su catálogo de vulnerabilidades explotadas conocidas el 1 de julio de 2026, antes incluso de que Microsoft publicara la corrección.

También se corrigió CVE-2026-50661, un bypass en BitLocker que permitiría acceder a datos cifrados si el atacante cuenta con acceso físico al dispositivo. Microsoft indicó que esta falla ya había sido divulgada públicamente, pero que no tenía registro de explotación activa.

Entre las fallas con mayor puntaje de severidad figura CVE-2026-48561, una ejecución remota de código en Microsoft Copilot con 9.6 puntos sobre 10 en la escala CVSS. Según Microsoft, un atacante podría explotarla alojando un sitio web malicioso que, al ser visitado desde Microsoft Edge para Android, envía de forma automática instrucciones manipuladas al asistente de IA.

Un ritmo que se acelera mes a mes

El salto de julio no es un hecho aislado. En junio de 2026, Microsoft ya había marcado un récord al superar los 200 parches en un solo mes, después de que el máximo anterior fuera de 175, fijado en octubre de 2025. En esa ocasión, la compañía atribuyó parte de los hallazgos a Codex, el sistema de OpenAI Group PBC, en uno de los primeros casos públicos de una IA reportando una vulnerabilidad dentro de un ciclo de Patch Tuesday.

El fenómeno tampoco se limita a Microsoft. Google entregó más de 900 correcciones de seguridad en su tanda de junio de 2026, y Adobe anunció que pasará a publicar boletines de seguridad dos veces por mes, el segundo y el cuarto martes de cada mes, citando también a la IA como causa de la aceleración. Cisco, Mozilla y Oracle también aumentaron su frecuencia de actualizaciones.

Pavan Davuluri, a cargo de Windows en Microsoft, había anticipado el aumento en un comunicado del 9 de julio de 2026, al señalar que a medida que la IA ayuda a encontrar más fallas, los usuarios verán un mayor volumen de actualizaciones en cada lanzamiento mensual.

Especialistas advirtieron, sin embargo, que el sistema que usa Microsoft para estimar qué tan probable es que una falla sea explotada, el llamado índice de explotabilidad, no se está actualizando al mismo ritmo que las herramientas de IA que también usan los atacantes. Satnam Narang, de la firma Tenable, citó pruebas del equipo de Red Team de Anthropic: su modelo Mythos Preview logró generar código de prueba de concepto para explotar 13 de 14 vulnerabilidades que Microsoft había calificado como de explotación "poco probable" o "improbable". La falla de SharePoint de este mes había recibido justamente esa calificación inicial, pese a estar ya en el catálogo de CISA.

Dado el volumen de correcciones, especialistas en gestión de parches recomendaron a los equipos de sistemas hacer una copia de seguridad antes de instalar las actualizaciones y esperar algunos días antes de aplicarlas en entornos de producción, ya que un número tan alto de cambios simultáneos incrementa la probabilidad de que aparezcan problemas de estabilidad.

Fuentes

  1. Microsoft patches record number of security vulnerabilities, citing its use of AI (techcrunch.com)
  2. Microsoft Patches a Record 570 Security Flaws (krebsonsecurity.com)
  3. Microsoft patches record 200-plus vulnerabilities as AI accelerates bug discovery (siliconangle.com)

Este artículo fue elaborado por el sistema editorial automatizado de Onda Corta a partir de las fuentes citadas, con supervisión humana del proceso. ¿Encontraste un error? Reportalo.

Seguí leyendo

El boletín de Onda Corta

Lo más importante de la semana en tecnología, sin ruido. Todos los domingos a la mañana en tu correo.