Microsoft Martes de Parches Enero 2026
Microsoft ha anunciado, como todos los segundos martes de cada mes, vulnerabilidades encontradas y sus correspondientes correcciones del mes de Enero de 2026. En su sitio de Avisos de Seguridad, mencionaron el hallazgo de tres vulnerabilidades de día cero, una de las cuales se encuentra bajo explotación, así como otras 111 vulnerabilidades en diferentes productos de la empresa.
CVE-2026-20805
Esta vulnerabilidad se encuentra bajo explotación, cuenta con una calificación CVSS3.1 de 5.5, y afecta al componente Desktop Windows Manager, servicio principal encargado de administrar efectos visuales y renderizado de las ventanas en Windows. La explotación de esta vulnerabilidad requiere que un posible atacante tenga acceso local al dispositivo y contar con autenticación, sin embargo, el atacante podría acceder a información sensible en memoria, tal como credenciales, llaves de encriptado y demás, sin necesidad de interacción del usuario afectado, aumentando el riesgo.
Microsoft mencionó que esta vulnerabilidad ya se encuentra bajo explotación, aunque no dieron más detalles de cómo ni dónde.
CVE-2026-21265
Con una calificación CVSS3.1 de 6.4, esta vulnerabilidad es mencionada debido a la expiración de certificados publicados en 2011. Se considera que no actualizar a la última versión disponible de Windows puede poner en riesgo la cadena de confianza de inicio seguro (Secure Boot), que se encarga de verificar todos los componentes de inicio, además de otros componentes del sistema operativo y firmware que dependen de la confianza en componentes firmados con los certificados confiables.
CVE-2023-31096
Debido a su naturaleza ‘heredada’ (o “legacy”), esta vulnerabilidad fue resuelta eliminando el componente afectado. Cuenta con una calificación CVSS3.1 de 7.8, afectando al controlador LSI PCI-SV92EX de Broadcom, y permitiendo a un actor de amenaza obtener privilegios a través de un proceso de mediana integridad hasta el nivel SYSTEM, lo cual también permite ignorar protecciones a nivel de kernel. Puede ser explotada a través de campañas BYOVD (“Bring Your Own Vulnerable Driver”) o ‘Trae Tu Propio Controlador Vulnerable’.
CVE-2026-20854
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 7.5, ocurre debido a un fallo en la asignación de memoria en el componente LSASS (“Local Security Authority Subsystem Service”) de Windows, y puede permitir a un atacante con credenciales válidas ejecutar código a través de la red.
CVE-2026-20944, CVE-2026-20952 y CVE-2026-20953
Con una calificación CVSS3.1 de 8.4, una falla en la asignación de memoria en Microsoft Office genera una vulnerabilidad que podría permitir a un atacante sin autenticar ejecutar código de forma remota.
CVE-2026-20955
Una falla en la asignación de memoria proveniente de recursos externos en Microsoft Office Excel genera una vulnerabilidad con calificación CVSS3.1 de 7.8, que puede permitir a un atacante sin autenticación la ejecución de código de forma local.
CVE-2026-20957
Esta vulnerabilidad se genera a la hora de redondear o asignar un valor menor o mayor al permitido por Microsoft Office Excel, produciendo un valor diferente al correcto y permitiendo a un atacante no autorizado ejecutar código de forma local. Lo anterior posiciona a esta vulnerabilidad con una calificación CVSS3.1 de 7.8.
CVE-2026-20822
Un error en la asignación de memoria en el componente Microsoft Graphics de Windows puede permitir a un atacante con acceso local elevar sus privilegios y obtener mayor control del sistema. Esta vulnerabilidad está catalogada con una calificación CVSS3.1 de 7.8.
Versiones Afectadas
CVE-2026-20805
| Productos | Versiones afectadas | Versiones corregidas |
| Windows 10 Version 1809 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 (Server Core installation) | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2022 | 10.0.20348.0 | 10.0.20348.4648 |
| Windows 10 Version 21H2 | 10.0.19044.0 | 10.0.19044.6809 |
| Windows 10 Version 22H2 | 10.0.19045.0 | 10.0.19045.6809 |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0 | 10.0.26100.7623 |
| Windows 11 Version 25H2 | 10.0.26200.0 | 10.0.26200.7623 |
| Windows 11 version 22H3 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows 11 Version 23H2 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows Server 2022, 23H2 Edition (Server Core installation) | 10.0.25398.0 | 10.0.25398.2092 |
| Windows 11 Version 24H2 | 10.0.26100.0 | 10.0.26100.7623 |
| Windows Server 2025 | 10.0.26100.0 | 10.0.26100.7623 |
| Windows 10 Version 1607 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 (Server Core installation) | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2012 | 6.2.9200.0 | 6.2.9200.25868 |
| Windows Server 2012 (Server Core installation) | 6.2.9200.0 | 6.2.9200.25868 |
| Windows Server 2012 R2 | 6.3.9600.0 | 6.3.9600.22968 |
| Windows Server 2012 R2 (Server Core installation) | 6.3.9600.0 | 6.3.9600.22968 |
CVE-2026-21265
| Productos | Versiones afectadas | Versiones corregidas |
| Windows 10 Version 1809 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 (Server Core installation) | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2022 | 10.0.20348.0 | 10.0.20348.4648 |
| Windows 10 Version 21H2 | 10.0.19044.0 | 10.0.19044.6809 |
| Windows 10 Version 22H2 | 10.0.19045.0 | 10.0.19045.6809 |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0 | 10.0.26100.32230 |
| Windows 11 Version 25H2 | 10.0.26200.0 | 10.0.26200.7623 |
| Windows 11 version 22H3 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows 11 Version 23H2 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows Server 2022, 23H2 Edition (Server Core installation) | 10.0.25398.0 | 10.0.25398.2092 |
| Windows 11 Version 24H2 | 10.0.26100.0 | 10.0.26100.7623 |
| Windows Server 2025 | 10.0.26100.0 | 10.0.26100.32230 |
| Windows 10 Version 1607 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 (Server Core installation) | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2012 | 6.2.9200.0 | 6.2.9200.25868 |
| Windows Server 2012 (Server Core installation) | 6.2.9200.0 | 6.2.9200.25868 |
| Windows Server 2012 R2 | 6.3.9600.0 | 6.3.9600.22968 |
| Windows Server 2012 R2 (Server Core installation) | 6.3.9600.0 | 6.3.9600.22968 |
CVE-2026-20854
| Productos | Versiones afectadas | Versiones corregidas |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0 | 10.0.26100.32230 |
| Windows 11 Version 25H2 | 10.0.26200.0 | 10.0.26200.7623 |
| Windows 11 Version 24H2 | 10.0.26100.0 | 10.0.26100.7623 |
| Windows Server 2025 | 10.0.26100.0 | 10.0.26100.32230 |
CVE-2026-20944
| Productos | Versiones afectadas | Versiones corregidas |
| Microsoft 365 Apps for Enterprise | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2021 | 16.0.1 | 16.105.26011018 |
| Microsoft Office LTSC for Mac 2024 | 16.0.0 | 16.105.26011018 |
CVE-2026-20952
| Productos | Versiones afectadas | Versiones corregidas |
| Microsoft Office 2019 | 19.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft 365 Apps for Enterprise | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2021 | 16.0.1 | 16.105.26011018 |
| Microsoft Office LTSC 2021 | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC 2024 | 16.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2024 | 16.0.0 | 16.105.26011018 |
| Microsoft Office 2016 | 16.0.0 | 16.0.5535.1000 |
CVE-2026-20953
| Productos | Versiones afectadas | Versiones corregidas |
| Microsoft Office 2019 | 19.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft 365 Apps for Enterprise | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC 2024 | 16.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC 2021 | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2021 | 16.0.1 | 16.105.26011018 |
| Microsoft Office LTSC for Mac 2024 | 16.0.0 | 16.105.26011018 |
| Microsoft Office 2016 | 16.0.0 | 16.0.5535.1000 |
CVE-2026-20955
| Productos | Versiones afectadas | Versiones corregidas |
| Office Online Server | 16.0.0.0 | 16.0.10417.20083 |
| Microsoft Office 2019 | 19.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft 365 Apps for Enterprise | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2021 | 16.0.1 | 16.105.26011018 |
| Microsoft Office LTSC 2021 | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC 2024 | 16.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2024 | 16.0.0 | 16.105.26011018 |
CVE-2026-20957
| Productos | Versiones afectadas | Versiones corregidas |
| Office Online Server | 16.0.0.0 | 16.0.10417.20083 |
| Microsoft Office 2019 | 19.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft 365 Apps for Enterprise | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2021 | 16.0.1 | 16.105.26011018 |
| Microsoft Office LTSC 2021 | 16.0.1 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC 2024 | 16.0.0 | Visite: https://aka.ms/OfficeSecurityReleases |
| Microsoft Office LTSC for Mac 2024 | 16.0.0 | 16.105.26011018 |
| Microsoft Excel 2016 | 16.0.0.0 | 16.0.5535.1000 |
CVE-2026-20822
| Productos | Versiones afectadas | Versiones corregidas |
| Windows 10 Version 1809 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2019 (Server Core installation) | 10.0.17763.0 | 10.0.17763.8276 |
| Windows Server 2022 | 10.0.20348.0 | 10.0.20348.4648 |
| Windows 10 Version 21H2 | 10.0.19044.0 | 10.0.19044.6809 |
| Windows 10 Version 22H2 | 10.0.19045.0 | 10.0.19045.6809 |
| Windows Server 2025 (Server Core installation) | 10.0.26100.0 | 10.0.26100.32230 |
| Windows 11 Version 25H2 | 10.0.26200.0 | 10.0.26200.7623 |
| Windows 11 version 22H3 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows 11 Version 23H2 | 10.0.22631.0 | 10.0.22631.6491 |
| Windows Server 2022, 23H2 Edition (Server Core installation) | 10.0.25398.0 | 10.0.25398.2092 |
| Windows 11 Version 24H2 | 10.0.26100.0 | 10.0.26100.7623 |
| Windows Server 2025 | 10.0.26100.0 | 10.0.26100.32230 |
| Windows 10 Version 1607 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 | 10.0.14393.0 | 10.0.14393.8783 |
| Windows Server 2016 (Server Core installation) | 10.0.14393.0 | 10.0.14393.8783 |
Recomendaciones
- Se recomienda aplicar todas las correcciones publicadas lo antes posible para minimizar el riesgo de explotación de las vulnerabilidades encontradas.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Abrams, L. (2026, Enero 13). Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws. Recuperado el 14 de Enero de 2026, en: BleepingComputer. https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/
- Baran, G. (2026, Enero 13). Microsoft Patch Tuesday January 2026 – 114 Vulnerabilities Fixed Including 3 Zero-days. Cyber Security News. Recuperado el 14 de Enero de 2026, en: https://cybersecuritynews.com/microsoft-patch-tuesday-january-2026/
- Divya. (2026, Enero 13). Microsoft Desktop Window Manager Zero-Day Exploited in Active Attacks. GBHackers. Recuperado el 14 de Enero de 2026, en: https://gbhackers.com/microsoft-desktop-window-manager-zero-day/
- Scroxton, A. (2026, Enero 13). Microsoft patches 112 CVEs on first Patch Tuesday of 2026. ComputerWeekly.Com. Recuperado el 14 de Enero de 2026, en: https://www.computerweekly.com/news/366637296/Microsoft-patches-112-CVEs-on-first-Patch-Tuesday-of-2026
