Parches de abril para Windows: todo lo que cambia en tu sistema

Guía Hardware » Guías de compra » Parches de abril para Windows: todo lo que cambia en tu sistema

Los parches de abril para Windows han llegado cargados de novedades y, esta vez, también de polémica. Microsoft ha liberado uno de los ciclos de seguridad más grandes de los últimos tiempos, con decenas de vulnerabilidades corregidas en Windows, Office, .NET y otros componentes clave, pero a la vez han aparecido errores serios en algunos entornos, sobre todo en servidores y controladores de dominio.

Si administras sistemas, trabajas con Windows 10, Windows 11 o Windows Server, o simplemente quieres saber si te afecta alguna vulnerabilidad que ya está siendo atacada, conviene que le dediques unos minutos a esta tanda de actualizaciones. Vamos a repasar en detalle qué incluyen los parches de abril, qué problemas corrigen, qué fallos están dando guerra y cómo puedes decidir si instalarlos ya mismo o esperar un poco.

Parches de abril para Windows: qué ha lanzado Microsoft

Como cada segundo martes de mes, Microsoft ha publicado su Patch Tuesday, el boletín mensual de actualizaciones de seguridad. En abril la compañía ha liberado parches para buena parte de su ecosistema: Windows 10, Windows 11, Windows Server, Office, SharePoint y .NET Framework, entre otros productos corporativos.

En el lado del sistema operativo, las versiones más recientes de Windows 11 reciben las actualizaciones KB5083769 y KB5082052, mientras que Windows 10 obtiene la acumulativa KB5082200 a través del programa ESU (Extended Security Updates). Estos paquetes no solo traen correcciones de seguridad, sino también mejoras de estabilidad y cambios internos que Microsoft no siempre detalla en profundidad.

Esta ronda se caracteriza por su volumen: se han corregido 167 vulnerabilidades según una de las fuentes (y 165 según otra, probablemente por diferencias de conteo o productos incluidos). En cualquier caso, hablamos de uno de los Patch Tuesday más grandes de la historia reciente de Microsoft, con un número de fallos solo superado por contadas ocasiones.

Dentro de este paquete hay ocho vulnerabilidades marcadas como críticas, la mayoría de ellas de ejecución remota de código (RCE), y dos vulnerabilidades de tipo Zero Day: una ya explotada activamente y otra divulgada de forma pública antes del parche. Todo ello convierte esta tanda de actualizaciones en un lanzamiento especialmente sensible desde el punto de vista de la seguridad.

Conviene tener claro que estas vulnerabilidades afectan tanto a equipos cliente (Windows 10 y 11) como a infraestructuras de servidor y servicios clave como SharePoint Server y Microsoft Defender, por lo que el impacto potencial para empresas y organizaciones es considerable.

Desglose de vulnerabilidades corregidas en Windows

El grueso de los parches de abril se centra en cerrar huecos de seguridad en Windows y componentes asociados. Microsoft ha clasificado las 167 vulnerabilidades corregidas en distintas categorías según el impacto y la técnica de explotación.

Por un lado, se han solucionado 93 vulnerabilidades de elevación de privilegios. Este tipo de fallos permite a un atacante que ya ha conseguido ejecutar código en el sistema escalar a niveles de permisos más altos, normalmente administrativos o de sistema, para consolidar el control del equipo, desactivar defensas o moverse lateralmente dentro de una red.

Además, se corrigen 13 vulnerabilidades de omisión de funciones de seguridad. Aquí hablamos de agujeros que permiten saltarse mecanismos que deberían proteger al sistema o a las aplicaciones (como controles de integridad, políticas de seguridad o restricciones específicas), abriendo la puerta a ataques más avanzados.

Uno de los bloques más delicados lo forman las 20 vulnerabilidades de ejecución remota de código (RCE). Estos fallos son especialmente peligrosos porque hacen posible que un atacante ejecute código malicioso en un equipo sin necesidad de tener acceso físico, a menudo a través de servicios o componentes que procesan contenido recibido desde la red. Basta un servicio expuesto o un archivo especialmente manipulado para convertir el PC en un objetivo vulnerable.

Las actualizaciones de abril también corrigen 21 vulnerabilidades de divulgación de información, que pueden permitir a un atacante acceder a datos personales o sensibles almacenados en el sistema. Aunque a veces se consideran menos “espectaculares” que una RCE, este tipo de fallos son muy valiosos para campañas de espionaje o preparación de ataques más complejos.

Se incluyen además 10 vulnerabilidades de denegación de servicio (DoS), capaces de provocar caídas, bloqueos o consumos extremos de recursos en sistemas y servicios afectados, y 9 vulnerabilidades de suplantación de identidad, que permiten a un atacante imitar recursos o usuarios legítimos para engañar tanto a componentes internos del sistema como a las personas que lo utilizan.

En conjunto, este paquete de parches busca reducir de forma significativa la superficie de ataque de Windows 10 y Windows 11, tanto en entornos domésticos como empresariales. No obstante, el impacto real en la seguridad dependerá de la rapidez con la que cada organización los aplique y de cómo combine estos parches con otras medidas de defensa.

Las dos Zero Day del mes: SharePoint y Microsoft Defender

Dentro de las vulnerabilidades corregidas este mes destacan dos Zero Day, es decir, fallos que ya eran conocidos públicamente o estaban siendo explotados antes de que la actualización estuviera disponible. Son los casos más urgentes de todo el lote.

La primera es CVE-2026-32201, una vulnerabilidad de suplantación de identidad en Microsoft SharePoint Server. El origen del problema está en una validación incorrecta de las entradas, lo que permite a un atacante no autenticado manipular cómo se presenta la información dentro de SharePoint. En la práctica, esto podría aprovecharse para mostrar contenido falso que parezca completamente legítimo en un entorno corporativo.

Esta debilidad ya está siendo explotada activamente, por lo que los sistemas de SharePoint Server sin parchear se consideran objetivos prioritarios. El riesgo no solo pasa por la exposición de información, sino también por el uso de la plataforma como vehículo para ataques de phishing, ingeniería social o manipulación de datos en entornos de colaboración interna.

La segunda Zero Day es CVE-2026-33825, una vulnerabilidad de elevación de privilegios en Microsoft Defender. El exploit asociado se hizo público en GitHub bajo el nombre de “BlueHammer”, compartido por un investigador molesto con el proceso de divulgación de vulnerabilidades de Microsoft. Aunque Microsoft ya ha cerrado este fallo con la actualización de abril, la publicación previa del código de explotación incrementa durante un tiempo el riesgo de que otros atacantes lo reutilicen.

En términos prácticos, estas dos vulnerabilidades Zero Day son las que más deberían preocupar a administradores de sistemas y responsables de seguridad, especialmente en entornos donde SharePoint juega un papel central como plataforma colaborativa o donde Defender se utiliza como pieza clave de la protección endpoint.

Actualización de .NET Framework: seguridad y estabilidad

Junto a los parches de Windows, Microsoft ha publicado una actualización acumulativa para .NET Framework 3.5 y 4.8.1 en Windows 11 versión 25H2 y en la versión 24H2 del sistema operativo de servidor de Microsoft. Esta actualización, fechada el 14 de abril de 2026, está pensada para mejorar tanto la seguridad como la confiabilidad de la plataforma.

En cuanto a seguridad, este paquete corrige varias vulnerabilidades con distintos impactos. Una de las más relevantes es CVE-2026-32178, una vulnerabilidad de ejecución remota de código en .NET Framework que, en determinadas circunstancias, podría permitir a un atacante ejecutar código en el sistema si se procesan entradas especialmente diseñadas.

Además, se solucionan varias vulnerabilidades de denegación de servicio: CVE-2026-32203, CVE-2026-32226 y CVE-2026-23666. Todas ellas se centran en escenarios en los que un atacante puede provocar que una aplicación o servicio basado en .NET deje de responder, consumiendo recursos o forzando reinicios.

También se incluye la corrección de CVE-2026-26171, una vulnerabilidad de omisión de funciones de seguridad en .NET Framework que podría permitir saltarse ciertas protecciones, y de CVE-2026-33116, una vulnerabilidad de divulgación de información que puede exponer datos que no deberían ser accesibles.

Más allá de la seguridad, la actualización mejora la calidad y fiabilidad de Windows Communication Foundation (WCF). En concreto, se corrige un problema con la ejecución de servicios NamedPipe de WCF dentro de contenedores de aplicaciones Win32 que se ejecutan en Windows 11 o Windows Server 2025, evitando errores en entornos que hagan uso intensivo de este tipo de comunicaciones.

La actualización está disponible a través de Windows Update, Windows Update para empresas, el Catálogo de Microsoft Update y WSUS, y se instala de forma automática en la mayoría de entornos si se utilizan las configuraciones por defecto. Microsoft indica que no se conocen problemas importantes asociados a este parche en el momento de su publicación.

Cómo se distribuyen los parches: Windows 11, Windows 10 y servidores

En los equipos de usuario final, las actualizaciones de abril deberían llegar, en la mayoría de casos, mediante Windows Update y aplicarse automáticamente tras un reinicio. Para Windows 11, los parches clave son:

• KB5083769 para usuarios de Windows 11 24H2 y 25H2.
• KB5082052 para equipos con Windows 11 23H2.

Los equipos con Windows 10 que siguen dentro del programa de actualizaciones extendidas ESU reciben la actualización acumulativa KB5082200, que incluye las mismas correcciones de seguridad relevantes adaptadas a esta versión del sistema operativo.

Para quienes prefieren tener un control manual del proceso, Microsoft mantiene disponible el Catálogo de Microsoft Update, donde se puede buscar cada parche por su número (KB) y descargar el paquete correspondiente para instalarlo de forma independiente. En entornos corporativos, la distribución se suele gestionar mediante WSUS (Windows Server Update Services) o soluciones de gestión de actualizaciones de terceros.

En lo que respecta a los servidores, especialmente los que actúan como controladores de dominio de Active Directory, esta tanda de parches se ha convertido en un arma de doble filo. Aunque corrige fallos críticos, también ha introducido problemas serios en algunas configuraciones, como veremos a continuación.

En cualquier caso, antes de aplicar estos parches en entornos de producción se recomienda comprobar compatibilidades, revisar la documentación oficial de Microsoft y consultar el ciclo de vida de Windows 10 y, si es posible, probar primero en entornos de pruebas o en un subconjunto de equipos para reducir riesgos.

Fallos detectados: reinicios infinitos en controladores de dominio

No todo son buenas noticias en los parches de abril. Varios administradores de sistemas han reportado que, tras instalar la actualización de seguridad de Windows Server de este mes, algunos controladores de dominio han comenzado a entrar en un bucle de reinicios constantes, dejando inoperativos servicios críticos de red.

Según los informes, el problema afecta especialmente a entornos que utilizan Privileged Access Management (PAM) junto con versiones concretas de Windows Server, como Windows Server 2025 y 2022. Tras aplicar el parche y reiniciar, el proceso de validación de credenciales falla, lo que acaba provocando que los controladores de dominio se reinicien una y otra vez sin llegar a estabilizarse.

La causa técnica parece estar en un conflicto entre dos componentes clave: LSASS (Local Security Authority Subsystem Service), que es el servicio responsable de validar credenciales tanto en inicios de sesión locales como remotos, y la capa de protección aportada por PAM, diseñada para limitar el movimiento lateral de atacantes que intenten obtener cuentas con privilegios elevados.

En escenarios complejos, este fallo puede provocar que un dominio completo quede inutilizado, bloqueando autenticaciones, acceso a recursos compartidos y otros servicios de directorio. Algunos administradores han conseguido una mitigación temporal desinstalando el parche o restaurando copias de seguridad anteriores a la actualización.

Microsoft ha reconocido el problema y ha recomendado a los equipos de TI que contacten con el soporte técnico oficial para aplicar mitigaciones mientras llega un parche definitivo. Mientras tanto, muchas organizaciones están optando por retrasar la instalación de esta actualización concreta en sus controladores de dominio de producción.

Problemas con BitLocker y TPM tras el Patch Tuesday

Los fallos de abril no se han limitado a los servidores. Algunos usuarios de Windows 11 y Windows 10 han reportado un comportamiento inesperado de BitLocker tras instalar las actualizaciones: al arrancar el equipo, el sistema solicita la clave de recuperación, algo que no debería suceder en condiciones normales si no se han modificado elementos de hardware o firmware.

Microsoft ha identificado que el problema está relacionado con una configuración de directiva de grupo vinculada al perfil de validación del TPM (Trusted Platform Module) para firmware UEFI nativo. Para que se dispare el fallo, deben darse varias condiciones a la vez, como que la política incluya el registro PCR7 y que en la información del sistema el estado de “Secure Boot PCR7 Binding” aparezca como “Not Possible”.

La parte positiva es que, según los datos de Microsoft, este problema afecta a un número limitado de dispositivos y, en la mayoría de casos, solo es necesario introducir la clave de recuperación una única vez. Aun así, resulta un contratiempo serio para entornos donde los usuarios no tienen fácil acceso a sus claves de recuperación o donde se despliegan muchas máquinas en paralelo.

Como medida preventiva, Microsoft ha publicado instrucciones para que administradores y usuarios puedan eliminar o ajustar la directiva de grupo problemática antes de instalar la actualización, reduciendo así el riesgo de que BitLocker solicite la clave de recuperación en el siguiente reinicio.

Una vez más, esto refuerza la idea de que, aunque los parches son imprescindibles para la seguridad, en entornos empresariales conviene probarlos primero en un grupo reducido de equipos y revisar las políticas de seguridad aplicadas, especialmente las relacionadas con cifrado y arranque seguro.

Patch Tuesday, volumen récord y el papel de la IA en las vulnerabilidades

El Patch Tuesday de abril se enmarca en un contexto más amplio en el que el número de vulnerabilidades publicadas no deja de crecer. Informes recientes, como el de Cisco Talos para el primer trimestre de 2026, señalan un aumento del 20 % en el total de CVEs respecto al mismo periodo del año anterior, con marzo como mes especialmente cargado.

Una parte importante de este crecimiento está ligada al auge de los ataques a la cadena de suministro de software. Campañas como la protagonizada por el grupo TeamPCP, que comenzó explotando credenciales robadas del escáner de vulnerabilidades Trivy y se extendió a herramientas de análisis estático, librerías de IA y SDKs de comunicaciones, ilustran hasta qué punto los atacantes utilizan herramientas legítimas como trampolines para comprometer infraestructuras enteras.

En paralelo, se han visto casos de paquetes muy populares troyanizados, como la librería Axios de JavaScript, que registró un caso de compromiso vinculado a actores relacionados con Corea del Norte. El patrón común es inquietante: los atacantes se apoyan en la confianza preexistente en herramientas open source y servicios habituales para colarse sin levantar sospechas.

Otro dato relevante del informe de Talos es que alrededor del 20 % de las Known Exploited Vulnerabilities (KEVs) del trimestre correspondieron a equipamiento de redes: routers, firewalls y appliances VPN. Muchos de estos dispositivos están desactualizados o mal gestionados, y no se parchean con la misma diligencia que los servidores o puestos de trabajo, convirtiéndose en puertas de entrada de alto valor para los atacantes.

La deuda técnica tampoco ayuda: aproximadamente un 25 % de los CVEs que sigue rastreando Talos se publicaron en 2024 o antes, algunos tan antiguos como 2009. Es decir, los problemas de seguridad no desaparecen, solo se acumulan, y mientras toda la atención se centra en las novedades mensuales, hay brechas abiertas desde hace años en sistemas olvidados.

Vulnerabilidades en IA, Mythos y el futuro de los exploits

Una de las tendencias más llamativas del último año es la aparición de las vulnerabilidades ligadas directamente a la inteligencia artificial como categoría propia. Talos ha identificado 121 CVEs con relevancia directa en componentes de IA durante el primer trimestre de 2026, cifra superior a la del año anterior y alineada con la velocidad a la que estas tecnologías se integran en todo tipo de productos.

Hablamos de librerías de orquestación de modelos, proxies de LLM, frameworks de agentes, herramientas de evaluación y otras piezas de software construidas a gran velocidad para aprovechar la ola de la IA generativa. El caso de LiteLLM, una librería usada por millones de desarrolladores para conectar con modelos de OpenAI, Anthropic, AWS Bedrock y otros, ilustra el riesgo: un único compromiso puede convertirse rápidamente en un vector para la exfiltración masiva de credenciales y secretos.

A este panorama se suma el llamado factor Mythos. Según el informe de Talos, este modelo de IA desarrollado por Anthropic es capaz de identificar y explotar Zero Days en los principales sistemas operativos y navegadores cuando se le instruye para ello, y actualmente está disponible solo para un conjunto reducido de unas 40 organizaciones que lo utilizan de forma defensiva.

El problema es que, como advierte el informe, las capacidades que hoy están en manos de los defensores acabarán, tarde o temprano, llegando también a los atacantes. La ventana de tiempo entre ambas orillas podría ser mucho más corta de lo que la industria espera, lo que obligará a replantear estrategias de detección, parcheo y respuesta a incidentes.

En este contexto, los parches mensuales de Microsoft son solo una pieza de un rompecabezas mucho mayor, en el que la velocidad para corregir fallos, la calidad de las actualizaciones y la capacidad de las organizaciones para aplicarlas de forma segura se vuelven aún más críticas.

Actualizaciones de Office y SharePoint en abril

Además de Windows y .NET, abril trae un paquete considerable de actualizaciones para Microsoft Office y SharePoint. Microsoft ha publicado correcciones tanto de seguridad como no relacionadas con seguridad para los siguientes productos:

• Microsoft Office 2016.
• SharePoint Server Edición de Suscripción.
• Microsoft SharePoint Server 2019.
• Microsoft SharePoint Server 2016.
• Office Online Server.
• SharePoint Administrador de flujos de trabajo.

Estas actualizaciones incluyen, entre otras cosas, parches para fallos de ejecución remota de código en Microsoft Office, con impacto directo en aplicaciones tan extendidas como Word y Excel. En algunos casos, basta con abrir un documento malicioso o incluso visualizarlo desde el panel de vista previa para disparar el exploit, lo que hace especialmente importante mantener estos componentes al día.

Microsoft recomienda instalar todas las actualizaciones que apliquen a tu entorno y, como de costumbre, ofrece más detalles en los artículos individuales de la Knowledge Base (KB) asociados a cada parche. Para entornos corporativos, conviene revisar estos artículos para entender qué cambia exactamente y cómo puede afectar a integraciones personalizadas o complementos de terceros.

Cómo actualizar ya mismo Windows 11 (y cuándo conviene esperar)

Si trabajas con un PC doméstico o de oficina sin requisitos especiales, lo más práctico suele ser dejar que Windows Update haga su trabajo. En muchos casos, las actualizaciones de abril se descargarán e instalarán de manera automática y solo tendrás que reiniciar el equipo cuando el sistema te lo pida.

Para forzar la comprobación manual, basta con abrir la aplicación Configuración > Windows Update y pulsar en “Buscar actualizaciones”. Si tu equipo es compatible, verás aparecer las acumulativas correspondientes (por ejemplo, KB5083769 o KB5082052 en Windows 11) junto con otros parches adicionales.

En entornos donde se prioriza la estabilidad por encima de todo, muchos administradores optan por esperar unos días antes de aplicar el Patch Tuesday, precisamente para detectar posibles problemas como los de los controladores de dominio o BitLocker. Ese retraso reduce el riesgo de que un bug introducido por el propio parche tumbe servicios críticos.

Para quienes utilizan Windows 11 en modo más “prudente”, el sistema permite pausar temporalmente las actualizaciones. Desde Windows Update puedes elegir la opción “Pausar durante 5 semanas”, periodo durante el cual el sistema no descargará nuevos parches. Esta técnica se ha vuelto bastante habitual entre usuarios que prefieren que otros “prueben” las actualizaciones antes.

Sea cual sea tu enfoque, lo que sí es importante es no dejar los equipos indefinidamente sin actualizar, sobre todo teniendo en cuenta que algunas de las vulnerabilidades de abril ya están siendo explotadas en el mundo real. El equilibrio entre seguridad y estabilidad sigue siendo complicado, pero ignorar por completo los parches no es una opción razonable.

Los parches de abril para Windows y el resto del ecosistema Microsoft representan una oleada de cambios que corrigen fallos graves, incluidos Zero Day explotados activamente, a costa de introducir algunos problemas serios en ciertos entornos como los controladores de dominio o configuraciones concretas de BitLocker. Con un volumen de vulnerabilidades en aumento, ataques cada vez más sofisticados a la cadena de suministro y un escenario en el que la inteligencia artificial empieza a jugar un papel clave tanto en la defensa como en el ataque, la capacidad de aplicar actualizaciones con criterio, probarlas adecuadamente y mantener controlada la superficie de exposición es ya una tarea ineludible para cualquiera que gestione sistemas Windows, desde el usuario avanzado de escritorio hasta el administrador de grandes infraestructuras.