Dentro del Patch Tuesday de abril de 2026, Microsoft corrigió un fallo en SharePoint Server que ya estaba siendo explotado cuando salió el parche. Se trata de CVE-2026-32201, una vulnerabilidad de spoofing que Microsoft etiquetó como “Exploitation Detected”, es decir, había evidencia de ataques en curso antes de que existiera arreglo público.
Qué es la vulnerabilidad
El problema está en la validación de entrada de Microsoft Office SharePoint Server. Una validación insuficiente permite a un atacante realizar ataques de suplantación a través de la red. Según el aviso de Microsoft, quien lo explote con éxito puede ver parte de la información sensible que maneja el servidor y modificar datos que se le presentan a la víctima. En la práctica afecta a la confidencialidad y a la integridad, pero no le da control total del recurso ni lo deja inaccesible.
La puntuación CVSS es 6.5, una severidad media. No es el típico RCE crítico con el que se rompe un servidor de un golpe, pero el detalle que cambia las cosas es que estaba en explotación activa. Un fallo medio que ya tiene exploits funcionando en la calle pesa más que un crítico teórico que nadie ha tocado todavía.
A quién afecta
El blanco es Microsoft SharePoint Server, el producto que muchas organizaciones usan como intranet, gestor documental y portal de colaboración. El riesgo se concentra en los servidores SharePoint expuestos a internet. Un servidor interno detrás de la red corporativa tiene una superficie de ataque mucho menor, pero las instalaciones accesibles desde fuera son el objetivo directo de este tipo de campañas.
SharePoint corre sobre Windows Server, así que cualquiera que mantenga una granja de SharePoint de cara al exterior debería tratar este parche como prioritario. Si gestionas la base sobre la que se asienta, repasa también las notas de seguridad de Windows Server.
Gravedad y contexto
Este CVE no llegó solo. Formó parte de uno de los Patch Tuesday más cargados de la historia de Microsoft, con 167 fallos corregidos el 14 de abril de 2026 y dos zero-days. El otro zero-day de esa tanda fue una escalada a SYSTEM en Microsoft Defender, divulgada públicamente pero sin explotación confirmada. CVE-2026-32201 es el que sí estaba siendo usado.
La diferencia importa a la hora de priorizar. Un ataque de spoofing en SharePoint puede servir como pieza de una cadena más larga: engañar a un usuario sobre el origen de un contenido, exponer información que debería estar restringida o manipular lo que la víctima ve para preparar un siguiente paso. No hace falta que el fallo por sí solo entregue el servidor para que sea útil a un atacante.
Mitigación y parche
La acción es directa: aplicar la actualización de seguridad de abril de 2026 para tu versión de SharePoint Server. Microsoft no ofrece una mitigación alternativa que sustituya al parche, así que la recomendación es desplegarlo cuanto antes, empezando por los servidores expuestos a internet.
Si tu organización tiene un proceso de pruebas antes de pasar parches a producción, este es un caso para acortar plazos. La combinación de explotación activa y servidores de cara al público no deja mucho margen. Mientras despliegas, conviene revisar registros en busca de accesos o peticiones anómalas hacia las instancias de SharePoint, por si ya hubo intentos.