El Patch Tuesday de Microsoft del 9 de junio de 2026 corrigió 198 vulnerabilidades, un récord histórico que supera al máximo anterior de 167 (octubre de 2025). Del total, alrededor de 32 están clasificadas como críticas y al menos tres fueron divulgadas públicamente antes de tener parche. Lo más urgente: ya hay código de explotación dando vueltas para varias de ellas, lo que acorta de forma drástica el tiempo disponible para actualizar.
Los zero-days con nombre propio
Tres fallas concentran la atención, divulgadas por un investigador que firma como «Nightmare Eclipse»:
- GreenPlasma (CVE-2026-45586): elevación de privilegios en el Collaborative Translation Framework de Windows que permite obtener una shell con permisos SYSTEM en equipos totalmente parcheados. CVSS 7.8, divulgada públicamente y catalogada como «explotación más probable».
- MiniPlasma: elevación de privilegios en el driver Cloud Files Mini Filter, también con escalada a SYSTEM, reportada como bajo explotación activa.
- YellowKey: bypass de BitLocker mediante el entorno de recuperación de Windows (WinRE), que requiere acceso físico al equipo y afecta sobre todo a laptops.
A esa lista se suma CVE-2026-49160, una denegación de servicio en HTTP.sys/IIS que, según Krebs on Security, fue descubierta con asistencia de una herramienta de IA. Conviene aclarar que hay discrepancias entre fuentes sobre la atribución exacta de algunos CVE y sobre el alcance real de la explotación activa: el boletín oficial de Microsoft marca todos los CVE de junio como «no explotados», mientras que la prensa especializada reporta explotación in-the-wild para GreenPlasma y MiniPlasma.
Una rivalidad personal detrás de los exploits
El detalle humano de esta tanda es poco habitual. «Nightmare Eclipse» mantiene una disputa abierta con Microsoft: sostiene que la empresa incumplió un acuerdo sobre vulnerabilidades que habían discutido y, en represalia, desde abril de 2026 viene publicando zero-days de Windows con código de prueba funcional, convirtiéndolos en armas explotables. Microsoft amenazó con acciones legales y luego aclaró que solo intervendría si se violaba la ley. El investigador anticipó un nuevo lote de exploits para el Patch Tuesday del 14 de julio.
Cómo priorizar el despliegue
Con 198 CVE repartidos en 78 componentes (.NET, Active Directory, Azure, Office, Hyper-V, Kerberos, el kernel y más), conviene un orden de aplicación:
- Primero, las tres fallas divulgadas públicamente (GreenPlasma, el bypass de BitLocker y la DoS de HTTP.sys), más la verificación de los reportes de explotación activa.
- BitLocker/WinRE en equipos con riesgo de acceso físico, como notebooks corporativas.
- La serie de RCE en el cliente de Escritorio Remoto en flotas de usuarios.
- En servidores: Hyper-V, Active Directory, Kerberos KDC y HTTP.sys/IIS (con la mitigación de registro si no se puede parchear de inmediato).
- Por último, los RCE de Office y Outlook, donde el panel de vista previa suele ser vector.
Una ventana de 48 a 72 horas
Cuando hay exploits públicos y un investigador que promete más para el mes siguiente, el cronograma de riesgo se comprime. Para infraestructuras con Windows, esto implica mover los parches críticos a las próximas 48 a 72 horas en lugar del ciclo habitual de testeo prolongado. ¿Tu organización tiene un proceso para acelerar parches cuando aparece explotación activa, o todo pasa por la misma cola de mantenimiento? Te leemos en los comentarios.
Fuentes
- Krebs on Security — A Record-Breaking Patch Tuesday for June 2026
- BleepingComputer — Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days
- Tenable — Microsoft’s June 2026 Patch Tuesday Addresses 198 CVEs
- Microsoft MSRC — June 2026 Security Updates
