Microsoft ha establecido un nuevo récord en su Patch Tuesday de junio, solucionando un total de 206 vulnerabilidades en sus productos, de las cuales 38 han sido clasificadas como críticas y el resto importantes. Aunque tres vulnerabilidades eran públicamente conocidas, ninguna ha sido explotada todavía en entornos reales.
A diferencia del mes anterior, cuando Microsoft reconoció que su sistema de detección automatizado basado en inteligencia artificial había identificado 16 de las 137 vulnerabilidades, en esta ocasión no se ha detallado explícitamente la participación de IA en el descubrimiento de las fallas. No obstante, se presume que la IA ha desempeñado un papel imprescindible en el proceso.
Tom Gallagher, vicepresidente de ingeniería del Microsoft Security Response Center, había anticipado que los volúmenes de vulnerabilidades detectadas seguirían creciendo, y junio ha superado incluso a mayo en número total y en bugs críticos. Dustin Childs, principal responsable de cazadores de vulnerabilidades en Zero Day Initiative, señaló que esta es la mayor actualización mensual desde que lleva registro en 2017, y destacó la capacidad de Microsoft para gestionar tal volumen de parches, aunque expresó preocupación por la calidad y las implicaciones de esta tendencia.
Childs planteó preguntas que quedan abiertas: ¿cuántas vulnerabilidades fueron descubiertas gracias a la IA?, ¿se ha utilizado inteligencia artificial para generar o probar los parches?, y ¿es este el nuevo estándar en la gestión de seguridad? Además, recordó que el número total de CVEs publicados por Microsoft en lo que va de 2026 ya supera el total de todo 2018.
Entre las vulnerabilidades públicas destacan tres casos que merecen especial atención. La CVE-2026-49160, identificada como el fallo «HTTP/2 Bomb», es un ataque de denegación de servicio que explota la compresión de cabeceras HTTP/2 y HTTP/3. Microsoft ha abordado este problema añadiendo un nuevo parámetro de control en el registro, limitando el número de cabeceras por petición y evitando así su explotación.
Otra vulnerabilidad pública grave es la CVE-2026-50507, que permite eludir las protecciones de cifrado de dispositivo de Windows BitLocker y acceder a datos cifrados mediante acceso físico. Este fallo parece estar relacionado con una serie de vulnerabilidades usadas por un hacker conocido como Nightmare Eclipse, que ha difundido pruebas de concepto y amenazas de nuevas divulgaciones.
Por último, la CVE-2026-45586 afecta al componente Windows Collaborative Translation Framework y puede ser utilizada para escalar privilegios localmente hasta conseguir acceso total al sistema, con riesgos evidentes de instalación de malware o movimientos laterales en la red.
Entre otros fallos críticos que merecen atención se encuentran dos vulnerabilidades calificadas con una puntuación CVSS de 9,8: la CVE-2026-45657, un error de ejecución remota de código en el núcleo de Windows que no requiere interacción del usuario, y la CVE-2026-47291, otra vulnerabilidad de ejecución remota en HTTP.sys, con alta probabilidad de explotación y riesgo significativo para servidores que manejan tráfico HTTP; Microsoft incluye instrucciones para mitigar esta última mediante ajustes en el registro antes de aplicar el parche.
Si bien ninguna de estas vulnerabilidades está siendo explotada masivamente aún, la intensa oleada de fallos detectados y parchados exige a administradores y equipos de seguridad redoblar esfuerzos para mantener protegidos los sistemas, en un panorama en el que la inteligencia artificial parece acelerar la identificación y solución de debilidades, pero también complica la dinámica tradicional de gestión de parches y vulnerabilidades.
