El 13 de enero de 2026, en su primer Patch Tuesday del año, Microsoft corrigió CVE-2026-20805, una vulnerabilidad de divulgación de información en el Desktop Window Manager (DWM) de Windows que ya se estaba explotando activamente como zero-day. CISA la metió ese mismo día en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y dio a las agencias federales estadounidenses hasta el 3 de febrero de 2026 para remediarla.
Qué es la vulnerabilidad
El Desktop Window Manager es el componente que compone y dibuja la interfaz gráfica de Windows: efectos de ventanas, transparencias, miniaturas. El fallo, clasificado como CWE-200 (exposición de información sensible a un actor no autorizado), permite que un atacante local y autenticado lea la dirección de una sección de memoria asociada a un puerto ALPC (Advanced Local Procedure Call) remoto. Esa sección vive en memoria de modo usuario, donde varios componentes de Windows coordinan operaciones entre sí.
A primera vista parece poca cosa. Solo revela una dirección de memoria y por sí mismo ni ejecuta código ni toca datos. De ahí su CVSS 3.1 de 5.5 (media), con vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N. El problema está en lo que abre. Al filtrar una dirección del proceso DWM, un atacante puede derrotar ASLR (Address Space Layout Randomization), la protección que aleatoriza dónde se sitúan los componentes en memoria. Saber esa dirección le da un punto de partida fiable para encadenar el fallo con un bug de ejecución de código o de elevación de privilegios. Así un exploit inestable pasa a ser fiable.
A quién afecta
El problema toca un amplio abanico de versiones de Windows, incluidas Windows 10, Windows 11 y Windows Server (de 2012 a 2025). Cualquier sistema con DWM activo y sin el parche de enero de 2026 es vulnerable. Como hace falta acceso local autenticado, el escenario habitual es el de post-explotación: un atacante que ya tiene un punto de apoyo en la máquina, por phishing, malware o credenciales robadas, se sirve de este fallo como peldaño para escalar privilegios.
Gravedad
Su puntuación CVSS es “media”, pero la mezcla de baja complejidad, cero interacción del usuario y explotación confirmada en la red la coloca entre los objetivos prioritarios de los operadores de malware. Que CISA la sumara al KEV el mismo día del parche deja claro que no es teórica: hay actividad real aprovechándola.
Mitigación y parche
La única solución que sirve es aplicar la actualización de seguridad de Microsoft de enero de 2026. Microsoft publicó números de compilación parcheados para cada versión soportada de Windows. Las recomendaciones son sencillas:
- Instala cuanto antes el parche del Patch Tuesday de enero de 2026.
- Si tu entorno no puede actualizar al momento, sigue la guía BOD 22-01 de CISA o, en sistemas sin soporte, plantéate retirarlos.
- Mantén defensas de profundidad (EDR, mínimo privilegio) que pongan difícil el acceso local previo que el fallo necesita.
Este zero-day llegó en un Patch Tuesday especialmente cargado: 114 vulnerabilidades corregidas (113 CVE según NVD), 8 de ellas críticas. Si administras sistemas, te suena la moraleja: una fuga de información que parece trivial puede ser justo la pieza que vuelve plenamente operativa una cadena de exploits.
Fuente
- BleepingComputer / Microsoft January 2026 Patch Tuesday: https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- Detalle del CVE en NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- Ficha del sistema afectado: /windows-desktop