Microsoft parchea más de 160 vulnerabilidades con un zero-day activo en SharePoint: el checklist para TI en México
Abril 2026 fue el segundo Patch Tuesday más grande de la historia de Microsoft. Hay un zero-day de SharePoint siendo explotado ahorita y más de 1,300 servidores siguen sin parchar. Aquí qué hacer primero.
El 14 de abril Microsoft lanzó el Patch Tuesday más grande de los últimos años: más de 160 CVEs de golpe, ocho críticos, y lo peor de todo, un zero-day en SharePoint que ya estaba siendo explotado en la naturaleza antes de que existiera el parche. Si trabajas en TI o eres responsable de la infraestructura de alguna empresa en México, esto no es una noticia para leer “cuando puedas”. Es para ahorita.
El zero-day que ya te está buscando: CVE-2026-32201
La vulnerabilidad más urgente es CVE-2026-32201, un fallo de spoofing en SharePoint Server que CISA ya metió a su catálogo de vulnerabilidades activamente explotadas. Le dieron CVSS 6.5, que no suena tan dramático, pero el contexto lo cambia todo: el ataque no requiere interacción del usuario, funciona desde la red, y ya hay actores maliciosos usando esto contra organizaciones reales.
Lo que hace: un atacante sin autenticar puede explotar una validación incorrecta de inputs en SharePoint Server para suplantar identidades, filtrar información sensible y modificar datos. En términos prácticos, si tienes SharePoint expuesto a internet sin el parche, alguien puede estar leyendo y alterando tus documentos corporativos sin que lo sepas.
Los productos afectados son SharePoint Enterprise Server 2016, SharePoint Server 2019 y SharePoint Server Subscription Edition.
CISA le puso fecha límite a las agencias federales de EUA: 28 de abril para parchearlo. Esa fecha ya pasó. Y aun así, más de 1,300 servidores SharePoint siguen expuestos en internet sin el parche aplicado, con menos de 200 sistemas actualizados según el conteo más reciente. Una locura.
El otro zero-day: Windows Defender con PoC público (CVE-2026-33825)
Si el de SharePoint es el urgente, el de Windows Defender es el que no te deja dormir porque alguien ya publicó el exploit. El investigador conocido como “Chaotic Eclipse” subió a GitHub el código funcional el 3 de abril de 2026, días antes de que Microsoft lo parcheara.
El fallo se llama BlueHammer internamente, tiene CVSS 7.8, y es una vulnerabilidad de escalada de privilegios por condición de carrera TOCTOU en el motor de remediación de amenazas de Defender. El flujo del ataque:
- Colocas un archivo que dispara una detección de Defender
- Usas un opportunistic lock para pausar la operación de Defender
- Creas un junction point de NTFS que redirige el path a
C:\Windows\System32 - Cuando Defender reanuda, escribe en el directorio privilegiado siguiendo la redirección
- El atacante puede sobreescribir un ejecutable del sistema con su payload malicioso
El resultado: un usuario sin privilegios escala directamente a NT AUTHORITY\SYSTEM. Afecta Windows 10, Windows 11 y Windows Server 2016/2019/2022/2025.
La buena noticia: Windows Defender se actualiza automáticamente, así que si no bloqueaste las actualizaciones de plataforma en tus equipos, probablemente ya tienes el fix. Verifica igual.
Los otros CVEs críticos que no puedes ignorar
El Patch Tuesday de abril también cerró hoyos graves en la infraestructura de red, y estos sí tienen CVSS de 9.8:
| CVE | Componente | CVSS | Tipo |
|---|---|---|---|
| CVE-2026-33827 | Windows TCP/IP | 9.8 | RCE sin autenticación |
| CVE-2026-33824 | Windows IKE Service | 9.8 | RCE vía IKEv2 |
| CVE-2026-32157 | Remote Desktop Client | Crítico | RCE use-after-free |
| CVE-2026-33826 | Windows Active Directory | Crítico | RCE en red adyacente |
El TCP/IP es especialmente jodido: un atacante manda un paquete IPv6 especialmente construido a un nodo Windows con IPSec habilitado y ejecuta código remoto. Sin autenticación. Sin interacción del usuario. Solo un paquete al host correcto.
En total, 93 de las más de 160 vulnerabilidades de este Patch Tuesday son de escalada de privilegios, 21 son de divulgación de información, 21 de ejecución remota de código, y 19 tienen rating de “explotación muy probable”. El Zero Day Initiative lo catalogó como el segundo Patch Tuesday más grande en la historia de Microsoft, solo por debajo del monstruo de octubre 2025.
Por qué las pymes mexicanas son las más expuestas
La neta es brutal: las organizaciones medianas y pequeñas en México tienden a actualizar sus sistemas en ciclos lentos, a veces mensuales, a veces trimestrales, a veces “cuando no hay de otra”. Los equipos de TI son pequeños, el SharePoint de la empresa está instalado en un servidor local que nadie toca desde 2022, y los Updates de Windows están configurados en “avisar pero no instalar automáticamente” para no interrumpir la operación.
Ese escenario es exactamente lo que los atacantes están buscando. Los 1,300 servidores vulnerables no son todos de Fortune 500: muchos son instalaciones on-premises en empresas medianas, integradores de servicios, despachos contables y bufetes jurídicos que usan SharePoint para gestionar documentos internos.
Ya vimos cómo el sector TI en México enfrenta presión constante en nuestro análisis de cómo la IA acabó con los proyectos de TI de 12 meses y las consultoras mexicanas que no lo vieron venir y no es exagerado decir que la deuda técnica acumulada es la misma que te deja vulnerable a este tipo de ataques.
El checklist: qué actualizar primero
Si tienes que priorizar con recursos limitados, este es el orden:
Prioridad 1: Inmediata (esta semana)
- Aplicar el parche de SharePoint Server (cualquier versión afectada). Si tienes SharePoint expuesto a internet, esto es urgente sin discusión
- Verificar que Windows Defender esté en la versión de plataforma actualizada: abre Windows Security, ve a Configuración y revisa “Actualizaciones de protección”
Prioridad 2: Crítica (esta semana también)
- Actualizar todos los nodos Windows con IPSec habilitado por el CVE TCP/IP de CVSS 9.8
- Revisar infraestructura que use IKEv2 (VPNs, conectividad site-to-site)
Prioridad 3: Alta (antes del 15 de mayo)
- Parches de Remote Desktop Client y Active Directory en todos los servidores
- Actualizar Windows 10/11 en todos los endpoints corporativos
Cómo verificar si ya estás parcheado
Para SharePoint Server: abre la Central de Administración, ve a Upgrade and Migration y revisa el Build Number. Para SharePoint Server Subscription Edition, el build mínimo seguro es el de abril 2026. Para Server 2019 y 2016, busca el KB correspondiente en el catálogo de Microsoft Update.
Para Windows (PowerShell):
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-30)} | Sort-Object InstalledOn -DescendingPara Defender:
Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion, AMServiceVersionSi tienes SCCM/Intune, el reporte de Compliance debería mostrarte todos los dispositivos sin el Patch Tuesday de abril. Si no tienes eso, estás manejando a ciegas y ese es el primer problema a resolver.
Y sí, esto aplica también para quienes manejan el stack Microsoft en la nube. Si usas SharePoint Online (Microsoft 365), Microsoft ya aplicó los parches automáticamente del lado del servicio. Pero si tienes híbrido con SharePoint on-premises, la parte local sigue siendo tu responsabilidad.
Una nota sobre la cadena de ataques
Lo que pone nervioso a los investigadores no es cada CVE por separado, sino que varios de estos fallos se pueden encadenar. Un atacante que explota CVE-2026-32201 para acceder a SharePoint puede luego usar CVE-2026-33825 para escalar privilegios en el servidor Windows que lo aloja. Eso convierte un fallo de “spoofing importantísimo” en compromiso total del sistema. Y si ese servidor está en la misma red que Active Directory… ya sabrás cómo termina el cuento.
Esto se conecta con la regulación de IA que ya afecta a empresas en México y lo que las empresas deben hacer antes de que llegue la ley mexicana: la presión regulatoria va a incluir cada vez más requisitos de gestión de vulnerabilidades, y tener 1,300 servidores sin parchar tres semanas después de un Patch Tuesday va a tener consecuencias legales además de técnicas.
Parcheó o no parcheó, esa es la pregunta. ¿Tu empresa ya aplicó el Patch Tuesday de abril? ¿O están en el grupo de los 1,300 que siguen dando lástima en el Shodan? Cuéntanos en los comentarios o en nuestro Discord, especialmente si trabajas en TI para pymes mexicanas, porque ese contexto específico merece su propia conversación.
Fuentes
- SecurityWeek: Microsoft Patches Exploited SharePoint Zero-Day and 160 Other Vulnerabilities
- BleepingComputer: Over 1,300 Microsoft SharePoint Servers Vulnerable to Ongoing Attacks
- Zero Day Initiative: The April 2026 Security Update Review
- Picus Security: BlueHammer CVE-2026-33825 Windows Defender Zero-Day Explained
- The Hacker News: Microsoft Issues Patches for SharePoint Zero-Day and 168 Other New Vulnerabilities
- Qualys: Microsoft and Adobe Patch Tuesday April 2026 Security Update Review
- Computer Weekly: April Patch Tuesday Brings Zero-Days in Defender, SharePoint Server
Comentarios
No te pierdas ningún post
Recibe lo nuevo de Al Chile Tech directo en tu correo. Sin spam.
También te puede interesar
Cisco parchea fallas CVSS 9.9 y 9.8 en Webex e ISE: el checklist urgente para TI en México
Cisco liberó parches críticos para cuatro vulnerabilidades en Webex e Identity Services Engine. Si tu empresa usa Webex con SSO o tienes ISE en producción, esto te toca directamente.
Adobe Reader lleva 4 meses con un zero-day activo y nadie te avisó: checklist urgente para empresas en México
CVE-2026-34621 lleva explotándose desde noviembre 2025 y el parche llegó hasta abril 2026. Si recibes facturas en PDF en tu empresa, lee esto antes de abrir el siguiente correo.
La falla de ChatGPT que robaba tus archivos con un solo prompt: ya fue parcheada, pero el pedo no terminó
Check Point Research reveló cómo un mensaje malicioso podía convertir cualquier conversación de ChatGPT en un canal silencioso de robo de datos. Esto es lo que pasó y cómo protegerte.