Solicita una demo
Infraestructura en la nubeCiberseguridad para EndpointWeb Application Firewall (WAF)Antispam en la NubeCorreos en la NubeAutenticador del dominioFiltros WebGestión de VulnerabilidadesSecure Sockets Layer (SSL)Soluciones de VPNBackup para Microsoft 365Backup para Google WorkspaceGestión de TISoluciones de RMMAntivirus para EmpresasSoftware de Escritorio RemotoVer todas las soluciones →
XcitiumXcitioneDmarc ProtectVer todos los productos →

Microsoft rompe su récord al parchear 622 vulnerabilidades, incluyendo dos zero-days bajo ataque activo

Por Equipo Inforland
14 de julio de 2026

El Patch Tuesday más grande de la historia de Microsoft: 622 vulnerabilidades en una sola actualización, dos zero-days ya explotados y una cadena de ataque en SharePoint que no se cerrará hasta agosto.

Los dos zero-days explotados este mes son de severidad media. Esperar el CVSS para priorizar es un error — la prioridad la manda la explotación real, no el puntaje.
Imagen del artículo

622 CVEs: el Patch Tuesday más grande de la historia

Microsoft publicó el Patch Tuesday más grande de su historia: 622 vulnerabilidades en una sola actualización. Dos zero-days ya están bajo explotación activa en SharePoint on-premise y AD FS. Una cadena de RCE sin autenticación en SharePoint sigue abierta hasta agosto.

622
vulnerabilidades en un solo Patch Tuesday — récord histórico de Microsoft
2 zero-days
bajo explotación activa: SharePoint Server y AD Federation Services

Microsoft publicó el Patch Tuesday más grande de su historia: 622 vulnerabilidades corregidas en una sola actualización, más del triple del récord anterior de junio. Dentro de ese volumen hay dos zero-days que los atacantes ya están explotando activamente.

El dato clave no es el número 622, sino que las dos fallas explotadas son vulnerabilidades de escalamiento de privilegios de severidad media en la infraestructura de identidad y colaboración corporativa.

Los dos zero-days que deben parchearse primero

CVE-2026-56164 afecta a SharePoint Server on-premise y permite que un atacante no autenticado escale privilegios a través de la red: sin credenciales, sin interacción del usuario y de forma remota. Fue acreditada a los equipos de respuesta a incidentes de Mandiant y al equipo FLARE de Google, lo que sugiere que se descubrió dentro de ataques reales en curso.

El agravante: SharePoint Server 2016 y 2019 llegaron al fin del soporte extendido ese mismo día, y a diferencia de Windows Server o SQL Server, no cuentan con un programa ESU de pago como red de seguridad. Como mitigación adicional, Microsoft recomienda habilitar AMSI en modo completo en el servidor.

CVE-2026-56155 afecta a Active Directory Federation Services (AD FS) y permite que un atacante ya autenticado eleve privilegios localmente aprovechando controles de acceso débiles. Aunque la etiqueta dice "local", AD FS es el componente que firma los tokens de autenticación del resto del entorno: comprometerlo equivale a comprometer la confianza de toda la organización.

Ninguna de las dos figura todavía en el catálogo KEV de CISA, pero Microsoft ya las marca como explotadas. Esperar la publicación en KEV para actuar es un error de criterio.

Una cadena de ataque que sigue abierta

CVE-2026-55040, un bypass de autenticación JWT en SharePoint divulgado por Rapid7, fue encadenado por los investigadores con una vulnerabilidad separada de ejecución remota de código para lograr RCE sin autenticación. Esa segunda mitad de la cadena aún no está parcheada y Microsoft la corregirá recién en agosto: el parche de julio es lo único que hoy rompe la cadena.

Patch Tuesday de Microsoft: récord de 622 vulnerabilidades con dos zero-days bajo explotación activa

La limpieza de RC4 en Kerberos puede romper autenticaciones

Esta actualización cierra el endurecimiento de Kerberos al eliminar el interruptor de reversión RC4DefaultDisablementPhase. Desde ahora, RC4 solo funciona en cuentas configuradas explícitamente para permitirlo. Si alguna cuenta de servicio todavía solicita tickets Kerberos con RC4, la autenticación puede fallar apenas se aplique la actualización. El orden recomendado es:

  • Auditar primero, con los eventos de auditoría RC4 que Microsoft incorporó en enero.
  • Rotar las contraseñas de las cuentas marcadas, para que Windows genere claves AES.
  • Parchear recién después de completar los dos pasos anteriores.

Cuando una actualización trae más de 600 CVEs y buena parte se califica como Alta o Crítica, el CVSS deja de servir como criterio de priorización. Los dos zero-days explotados de este mes son de severidad media. La prioridad debe ordenarse por explotación real —KEV, EPSS y la marca de explotación de Microsoft—, no por puntaje.

Conclusión

Microsoft ya advirtió que este volumen será la nueva normalidad: el uso de IA en el descubrimiento de vulnerabilidades está multiplicando los hallazgos internos, y la misma automatización permite a los atacantes analizar los parches y construir exploits funcionales antes de que la mayoría termine sus pruebas. El margen del "esperemos una semana" ya no existe.

Para las organizaciones que dependen de SharePoint o Active Directory, la ventana de exposición es real hoy. Si tu empresa necesita evaluar su postura ante vulnerabilidades críticas y fortalecer la gestión de TI, en Inforland Perú podemos acompañarte en ese diagnóstico — antes de que un parche pendiente se convierta en un incidente.

¿Cómo está protegida tu empresa?

Un consultor de Inforland revisa tu situación actual sin costo y te muestra exactamente qué tan expuesta está tu operación.

Solicitar diagnóstico gratuito →Escribir por WhatsApp
7 de julio de 2026

Ciberdelincuentes usan el nombre de SUTRAN y SAT en campañas de phishing

Fraudes digitales que suplantan a la SUTRAN y el SAT de Lima para robar datos y dinero están en aumento en Perú. Cómo funcionan, cómo reconocerlos y qué hacer si recibes uno.

Leer artículo →
5 de julio de 2026

Una IA aprovecha la vulnerabilidad RCE de Langflow para secuestrar y destruir una base de datos

Un agente de IA aprovechó la vulnerabilidad RCE de Langflow (CVE-2025-3248) para secuestrar y destruir una base de datos sin intervención humana. Qué implica para las empresas en Perú y LATAM.

Leer artículo →
21 de junio de 2026

Roban credenciales de 86,000 firewalls y VPN de Fortinet

FortiBleed: una campaña masiva expuso credenciales de 86,644 firewalls y VPN Fortinet en 194 países. CISA emitió alerta urgente. Conoce cómo funciona el ataque y cómo proteger tu empresa.

Leer artículo →
Ver todas las noticias →