Microsoft publicó su Patch Tuesday de mayo de 2026 el día 12 con parches para alrededor de 120 vulnerabilidades. Si se cuentan los avisos de productos adyacentes, la cifra sube hasta los 137 CVE. De ese total, 17 fallos están clasificados como críticos.
Lo que distingue a este boletín no es el volumen, que está dentro de lo habitual, sino lo que falta: ningún zero-day. Es el primer Patch Tuesday sin vulnerabilidades explotadas o divulgadas públicamente antes del parche desde junio de 2024. Casi dos años seguidos con al menos un fallo activo cada mes convirtieron esa excepción en noticia.
Qué entra en este lote
El grueso de los 17 críticos son ejecuciones remotas de código. Entre los que más vigilancia merecen están varias vulnerabilidades en Microsoft Word que se pueden disparar a través del panel de vista previa de Explorador y Outlook, lo que significa que basta con que el archivo malicioso se renderice sin abrirlo del todo. Microsoft marcó algunas de ellas como “Exploitation More Likely”, su etiqueta para los fallos con más probabilidad de acabar siendo explotados.
También hay un RCE en el subsistema gráfico GDI que se activa al abrir un archivo Enhanced Metafile (EMF) manipulado con Microsoft Paint, y otro en el cliente DNS de Windows que un servidor controlado por el atacante podría aprovechar enviando una respuesta DNS preparada. Ninguno requiere autenticación previa en los escenarios peores, lo que sube su prioridad.
Para entornos de servidor, este mismo boletín incluye la corrección de un desbordamiento de buffer en el servicio Netlogon que afecta a controladores de dominio. En el momento del lanzamiento no constaba explotación, pero el panorama cambió pocas semanas después.
Por qué no relajarse pese a la ausencia de zero-days
“Sin zero-days” describe la foto del día del parche, no lo que pasa después. El fallo de Netlogon corregido aquí (CVE-2026-41089) pasó a estar explotado activamente contra controladores de dominio el 29 de mayo, según confirmó el Centro de Ciberseguridad de Bélgica. Un parche que el 12 de mayo parecía rutinario se convirtió en urgente en cuestión de días.
Esto es lo normal con los boletines mensuales: los atacantes comparan el binario parcheado con el anterior para reconstruir el fallo y montar un exploit. Cuanto más tiempo dejes sin aplicar la actualización, más margen tienen. La ausencia de zero-days el día del lanzamiento es un respiro, no una invitación a posponer.
Qué hacer
Aplica las actualizaciones de mayo cuanto antes en estaciones de trabajo y servidores. Si gestionas controladores de dominio, prioriza Netlogon: la elevación a SYSTEM y el control del dominio Active Directory están en juego. En equipos de usuario, los fallos de Word y GDI se mitigan con el parche, pero conviene recordar a la plantilla que no abra adjuntos de origen dudoso, ya que el panel de vista previa puede actuar como vector incluso sin abrir el documento.
Si administras flotas con WSUS, Intune o herramientas equivalentes, revisa que los anillos de despliegue no estén dejando fuera a los equipos críticos. Y comprueba la lista completa en el portal de actualizaciones de Microsoft, porque algunos componentes (Office, SharePoint) se distribuyen por canales distintos al de Windows Update.
Para más detalle sobre uno de los fallos más graves de este mismo boletín, tienes el caso de la RCE en el panel de vista previa de Office y, en la serie mensual, el Patch Tuesday de marzo de 2026.