Microsoft solucionó 112 vulnerabilidades en Windows y otros productos con su actualización de enero de 2026, Patch Tuesday (114 si se incluyen las actualizaciones relacionadas con Chromium), incluyendo un fallo de divulgación de información en el Administrador de Ventanas de Escritorio de Windows (DWM) que ya está siendo explotado activamente, rastreado como CVE-2026-20805, según la Iniciativa de Día Cero (ZDI) de Trend Micro.
“Patch Tuesday” se refiere a la publicación mensual de actualizaciones de seguridad de Microsoft, que normalmente se publica el segundo martes de cada mes y cubre Windows y otros productos de Microsoft.
El análisis de Patch Tuesday de CrowdStrike describió esta actualización como incluyendo tres vulnerabilidades de día cero (una explotada activamente y dos divulgadas públicamente).
Vulnerabilidad DWM explotada activamente
La CISA ha añadido recientemente CVE-2026-20805 a su catálogo de vulnerabilidades conocidas explotadas (KEV), estableciendo un plazo de remediación para las agencias civiles federales del 3 de febrero de 2026, bajo el BOD 22-01.
Aunque no se han nombrado los actores de amenaza específicos, expertos de Immersive y Trend Micro advierten que CVE-2026-20805 se está utilizando como un “eslabón crítico” en ataques activos. Si bien el fallo solo filtra información, los hackers lo utilizan para derrotar la aleatorización del diseño del espacio de direcciones (ASLR), transformando lo que sería un intento complejo e poco fiable de bloquear un sistema en una brecha predecible y repetible.
ASLR es como un guardia de seguridad que mueve los archivos más valiosos de la empresa a una habitación diferente y aleatoria cada día. Incluso si un ladrón sabe dónde estaban los archivos ayer, no estarán allí hoy.
KEV añade riesgo de Gogs
Por separado, la última actualización del ciclo KEV de la CISA también incluye CVE-2025-8110, una vulnerabilidad crítica en el servicio Git autoalojado Gogs, con un plazo de remediación federal del 2 de febrero de 2026, lo que reduce los plazos de aplicación de parches para las agencias y los contratistas que ejecutan infraestructura de desarrollo interna.
El análisis de Wiz sobre CVE-2025-8110 describe un bypass de enlace simbólico que puede ser abusado para escribir archivos fuera de las rutas previstas a través de la API de Gogs, un perfil de riesgo que es más importante en entornos donde los repositorios almacenan secretos de CI/CD, configuraciones de infraestructura o credenciales utilizadas posteriormente.
Aumento del volumen de parches y mezcla de exploits
El volumen de parches también está aumentando nuevamente. CrowdStrike contó 57 CVE en la publicación de diciembre de 2025 de Microsoft; el recuento de enero de ZDI casi duplica esa línea de base, lo que subraya por qué muchos equipos de seguridad tratan Patch Tuesday como un evento de producción continuo, no como una tarea de “higiene de TI”.
El análisis de riesgos de CrowdStrike indicó que las principales técnicas de explotación en la publicación de enero fueron la elevación de privilegios (57 parches), seguida de la ejecución remota de código (22) y la divulgación de información (22). También señaló que Windows representó la mayor parte de las correcciones (93), seguido de Office (16).
Para Office, la documentación de soporte de Microsoft para Office 2016 vincula la actualización de enero a CVE-2026-20952 y CVE-2026-20953. (Las entradas de la Base de Datos de Vulnerabilidades Nacionales para esos CVE describen un comportamiento de “uso después de liberación” en Microsoft Office; las condiciones de explotación varían según el canal y la compilación del producto).
Intrusiones de credenciales y modernización como telón de fondo
Junto con la urgencia de los parches impulsada por la explotación, las agencias federales también se enfrentan a intrusiones basadas en credenciales que no requieren una vulnerabilidad de software. El Departamento de Justicia de EE. UU. declaró que Nicholas Daniel Moore, de 24 años, se declaró culpable de actividades de intrusión informática que involucraron el sistema de presentación electrónica del Tribunal Supremo de EE. UU. y otras redes, utilizando credenciales robadas para acceder a cuentas y obtener información confidencial.
Este patrón se alinea con las repetidas advertencias de la CISA (en múltiples avisos conjuntos) de que los actores de amenazas buscan rutinariamente el acceso a credenciales, a través de técnicas de rociado de contraseñas, fuerza bruta y relacionadas, para comprometer cuentas, lo que subraya por qué los controles de identidad se tratan como una capa defensiva central en los programas federales de confianza cero.
Esta carga de trabajo de seguridad se produce en paralelo con grandes esfuerzos de modernización de las redes federales. El Departamento de la Fuerza Aérea ha descrito la Modernización de la Infraestructura Base (BIM) como un vehículo de TI como Servicio Empresarial destinado a modernizar la infraestructura de red base a escala.
Por separado, CACI dijo que ganó una orden de tarea de cinco años con un valor de hasta 212 millones de dólares para entregar capacidades de modernización de red definidas por software a nivel empresarial para las redes de área base de la Fuerza Espacial de EE. UU.
