Microsoft ha implementado correcciones para vulnerabilidades de seguridad en Windows y Office, que según la compañía están siendo explotadas activamente por hackers para acceder a los ordenadores de los usuarios.
Las vulnerabilidades son ataques de un solo clic, lo que significa que un hacker puede instalar malware o acceder al ordenador de una víctima con una mínima interacción del usuario. Al menos dos vulnerabilidades pueden explotarse engañando a alguien para que haga clic en un enlace malicioso en su ordenador Windows. Otra puede comprometer la seguridad al abrir un archivo malicioso de Office.
Las vulnerabilidades se conocen como de día cero, porque los hackers explotaron los errores antes de que Microsoft tuviera tiempo de corregirlos.
Se han publicado detalles sobre cómo explotar los errores, según Microsoft, lo que podría aumentar la probabilidad de ataques. Microsoft no especificó dónde se publicaron, y un portavoz de Microsoft no hizo comentarios de inmediato al ser contactado. En sus informes de errores, Microsoft reconoció la contribución de los investigadores de seguridad del Grupo de Inteligencia de Amenazas de Google en el descubrimiento de las vulnerabilidades.
Microsoft afirmó que uno de los errores, identificado oficialmente como CVE-2026-21510, se encontró en el shell de Windows, que controla la interfaz de usuario del sistema operativo. El error afecta a todas las versiones compatibles de Windows, según la compañía. Cuando una víctima hace clic en un enlace malicioso desde su ordenador, el error permite a los hackers eludir la función SmartScreen de Microsoft, que normalmente analiza enlaces y archivos maliciosos en busca de malware.
Según el experto en seguridad Dustin Childs, este error puede utilizarse para instalar malware de forma remota en el ordenador de la víctima.
«Aquí hay interacción del usuario, ya que el cliente necesita hacer clic en un enlace o en un archivo de acceso directo», escribió Childs en su blog. «Aun así, un error de un solo clic para ejecutar código es poco común».
Un portavoz de Google confirmó que el error del shell de Windows se estaba explotando de forma activa y generalizada, y afirmó que los ataques con éxito permitían la ejecución silenciosa de malware con altos privilegios, «lo que supone un alto riesgo de posterior vulneración del sistema, implementación de ransomware o recopilación de información».
Otro error de Windows, identificado como CVE-2026-21513, se encontró en MSHTML, el motor de navegador propietario de Microsoft, que impulsa su antiguo navegador Internet Explorer, descontinuado hace tiempo. Aún se encuentra en versiones más recientes de Windows para garantizar la compatibilidad con aplicaciones antiguas.
Microsoft afirmó que este error permite a los hackers eludir las funciones de seguridad de Windows para instalar malware.
Según el reportero de seguridad independiente Brian Krebs, Microsoft también corrigió otros tres errores de día cero en su software que estaban siendo explotados activamente por hackers.
