El Patch Tuesday del 9 de junio de 2026 ha sido el mayor desde que Microsoft arrancó el programa: 198 CVE en una sola tanda, de los cuales 32 están marcados como críticos y los 166 restantes como importantes. No hay nada calificado como moderado ni bajo. Si llevas tiempo administrando flotas de Windows, este es el mes en el que conviene reservar la ventana de mantenimiento con margen.
El reparto por tipo deja la elevación de privilegios al frente, con un 31,8 % de los fallos, seguida de la ejecución remota de código con un 27,3 %. El resto se reparte entre divulgación de información, denegación de servicio, suplantación y omisión de funciones de seguridad. Los componentes tocados van desde el kernel de Windows, Hyper-V, el cliente de Escritorio remoto, HTTP.sys, Kerberos, DHCP y BitLocker hasta Active Directory, varios servicios de Azure, Office, Exchange, Teams y Visual Studio Code, además de más de 60 componentes adicionales de Windows.
El RCE del kernel
El fallo que más preocupa de cara a equipos expuestos es CVE-2026-45657, una ejecución remota de código en el kernel de Windows con CVSS 9.8. Permite a un atacante remoto sin autenticar ejecutar código a nivel SYSTEM, el privilegio más alto de la máquina. Es la combinación que nadie quiere ver: sin credenciales, sin interacción del usuario y con control total del sistema si tiene éxito. Cualquier equipo que reciba tráfico desde redes no confiables debe priorizarse.
Los tres zero-days
Tres vulnerabilidades llegaron con la etiqueta de zero-day, todas valoradas por Microsoft como “explotación más probable”.
CVE-2026-45586 es una elevación de privilegios en el Collaborative Translation Framework de Windows, con CVSS 7.8. Afecta al proceso CTFMON, el que gestiona el reconocimiento de voz y escritura a mano, y otorga privilegios SYSTEM cuando se explota.
CVE-2026-50507, apodada “Bitskrieg”, es una omisión de la función de seguridad de BitLocker con CVSS 6.8. Requiere acceso físico al dispositivo y se divulgó públicamente antes de que hubiera parche. Hay un segundo bypass de BitLocker en este ciclo, CVE-2026-45585 (“YellowKey”, CVSS 6.8), también con prueba de concepto pública desde el 13 de mayo. Si trabajas con portátiles que salen de la oficina, son dos motivos para no demorar la actualización.
CVE-2026-49160 es una denegación de servicio en HTTP.sys con CVSS 7.5, bautizada como “HTTP/2 Bomb”. El parche introduce un nuevo ajuste de registro, MaxHeadersCount, como mitigación adicional para limitar la superficie del ataque.
Escritorio remoto y un parche fuera de banda
El cliente de Escritorio remoto acumula once vulnerabilidades de RCE (de CVE-2026-42909 a CVE-2026-48563), siete de ellas críticas, con CVSS entre 7.5 y 8.8. El patrón es un desbordamiento de búfer en el heap que se dispara cuando la víctima se conecta a un servidor controlado por el atacante. La defensa práctica pasa por no conectar a servidores RDP de origen dudoso y por parchear el cliente cuanto antes.
Aparte del ciclo principal, Microsoft había publicado actualizaciones fuera de banda. CVE-2026-41091 (“RedSun”, CVSS 7.8) es una elevación de privilegios en Microsoft Defender que ya se explotaba activamente y entró en el catálogo KEV de CISA el 20 de mayo de 2026.
Qué hacer
Aplica el ciclo completo cuanto antes y empieza por lo expuesto a red: cualquier equipo alcanzable de forma remota por el vector del kernel (CVE-2026-45657) y los servidores con HTTP.sys de cara a internet. Para portátiles con BitLocker, recuerda que los dos bypass exigen acceso físico, pero el parche es la única solución. Y revisa que Microsoft Defender esté al día por el zero-day de RedSun, ya explotado.
Si quieres comparar la magnitud con meses anteriores, tienes el resumen del Patch Tuesday de marzo de 2026. Toda la información sobre versiones soportadas está en la ficha de Windows.