Múltiples Vulnerabilidades RCE en Microsoft Office y Windows
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) informa sobre la detección de vulnerabilidades de alta severidad que afectan a los sistemas operativos Windows y a la suite de ofimática Microsoft Office (incluyendo Word y Excel).
Estas fallas, corregidas en el ciclo de actualizaciones del 13 de enero de 2026, permitirían a un atacante ejecutar comandos de forma remota en su equipo. El método de ataque principal consiste en engañar al usuario para que abra un archivo malicioso (documentos de Word o Excel modificados), lo que otorga al actor malicioso el control del sistema o la capacidad de escalar privilegios.
Detalle de las Vulnerabilidades Críticas
| Identificador CVE | Puntuación CVSS v3.1 | Componente Afectado | Tipo de Falla / Impacto |
| CVE-2026-20952 | 8.4 (ALTA) | Microsoft Office | Use-After-Free: Permite RCE al abrir archivos manipulados. |
| CVE-2026-20953 | 8.4 (ALTA) | Microsoft Office | Use-After-Free: Permite RCE al abrir archivos manipulados. |
| CVE-2026-20944 | 8.4 (ALTA) | Microsoft Word | Lectura fuera de límites: Ejecución de código mediante documentos maliciosos. |
Productos Afectados
La vulnerabilidad está presente en prácticamente todos los ecosistemas de Microsoft con versiones anteriores a la actualización del 13 de enero de 2026:
- Sistemas Operativos: Windows 10, Windows 11 y Windows Server.
- Ofimática: Microsoft 365 Apps para empresas, Office 2019, Office 2021 y Office LTSC.
- Aplicaciones Específicas: Microsoft Word y Microsoft Excel.
Recomendaciones de Seguridad
El CSIRT-UC insta a los usuarios y administradores de sistemas a realizar las siguientes acciones de forma urgente:
1. Actualizar el Sistema Operativo
Vaya a Inicio $\rightarrow$ Configuración $\rightarrow$ Windows Update y haga clic en "Buscar actualizaciones". Asegúrese de instalar todos los parches acumulativos de enero de 2026.
2. Actualizar Microsoft Office
Dentro de cualquier aplicación de Office (Word, Excel):
- Vaya a Archivo $\rightarrow$ Cuenta.
- En Opciones de actualización, seleccione "Actualizar ahora".
3. Precaución con Documentos Externos
IMPORTANTE: Evite abrir archivos adjuntos de correos electrónicos no solicitados o descargar documentos de sitios web no confiables, incluso si parecen ser documentos de trabajo legítimos (.docx, .xlsx).
Referencias Oficiales
- Guía de Actualización de Microsoft (MSRC): https://msrc.microsoft.com/update-guide/releaseNote/2026-jan
- Registro CVE: CVE-2026-20952 | CVE-2026-20944
CSIRT - UC