Mayo 2026: Microsoft y otros gigantes tecnológicos corrigen cientos de vulnerabilidades en sus sistemas

Microsoft corrige 118 vulnerabilidades en su 'Patch Tuesday' de mayo de 2026

Las plataformas de inteligencia artificial, aunque también susceptibles a técnicas de ingeniería social como los humanos, han demostrado una capacidad excepcional para identificar vulnerabilidades en el código desarrollado por personas. Este mes, gigantes tecnológicos como Microsoft, Apple, Google, Mozilla y Oracle están aplicando parches a un volumen récord de fallos de seguridad, acelerando el ritmo de sus actualizaciones.

Como es habitual el segundo martes de cada mes, Microsoft ha publicado hoy sus actualizaciones mensuales, resolviendo al menos 118 vulnerabilidades en sus sistemas operativos Windows y otros productos. Lo más destacado es que, por primera vez en casi dos años, no incluye parches para vulnerabilidades de día cero (zero-day) ya explotadas activamente. Además, ninguna de las fallos corregidos había sido previamente divulgada, lo que reduce el riesgo de que los atacantes aprovechen la información para explotarlos.

Seis vulnerabilidades críticas permiten control remoto sin interacción del usuario

De las 118 vulnerabilidades, 16 han sido clasificadas como críticas, lo que significa que podrían permitir a los ciberdelincuentes tomar el control remoto de un dispositivo Windows con poca o ninguna intervención del usuario. Rapid7 ha identificado algunas de las más peligrosas, entre las que destacan:

• CVE-2026-41089: Un desbordamiento de búfer en la pila de Windows Netlogon que otorga privilegios de SYSTEM en el controlador de dominio. No requiere privilegios previos ni interacción del usuario, y su complejidad de ataque es baja. Los parches están disponibles para todas las versiones de Windows Server desde 2012.
• CVE-2026-41096: Una vulnerabilidad crítica de ejecución remota de código (RCE) en la implementación del cliente DNS de Windows, considerada de alto riesgo pese a que Microsoft estima que su explotación es menos probable.
• CVE-2026-41103: Una vulnerabilidad de escalada de privilegios que permite a un atacante no autorizado suplantar a un usuario existente mediante credenciales falsificadas, eludiendo la autenticación de Microsoft Entra ID. Microsoft considera que su explotación es más probable.

Un récord de parches en abril y avances con inteligencia artificial

El mes pasado, Microsoft corrigió un récord de 167 vulnerabilidades, una cifra cercana a su máximo histórico. Este esfuerzo forma parte de iniciativas como Project Glasswing, un sistema de IA desarrollado por Anthropic que ha demostrado ser altamente efectivo en la detección de fallos de seguridad en el código.

Apple, otro de los participantes en Project Glasswing, suele corregir una media de 20 vulnerabilidades en cada actualización de seguridad para iOS. Según Chris Goettl, vicepresidente de gestión de productos en Ivanti, el pasado 11 de mayo, Apple lanzó iOS 15, que resolvió al menos 52 vulnerabilidades y aplicó los parches incluso a dispositivos tan antiguos como el iPhone 6s.

Por su parte, Mozilla publicó Firefox 150 el mes pasado, corrigiendo 271 vulnerabilidades descubiertas durante la evaluación de Glasswing. Desde entonces, la compañía ha acelerado su ritmo de actualizaciones, lanzando versiones como Firefox 150.0.3 en el 'Patch Tuesday' de mayo, que resolvían entre tres y cinco CVEs en cada release.

Oracle también ha aumentado la frecuencia de sus parches tras su colaboración en Project Glasswing. En su último trimestre de actualizaciones, la empresa abordó al menos 450 fallos, incluyendo más de 200 vulnerabilidades críticas.

La IA como aliada en la ciberseguridad

El uso de inteligencia artificial en la identificación de vulnerabilidades está transformando la ciberseguridad. Aunque estas plataformas no son inmunes a técnicas de manipulación como la ingeniería social, su capacidad para analizar grandes volúmenes de código en busca de fallos las convierte en herramientas clave para los equipos de seguridad.

Con empresas como Microsoft, Apple y Mozilla priorizando la corrección de vulnerabilidades, los usuarios pueden esperar un entorno digital más seguro, aunque la constante evolución de las amenazas exige una vigilancia permanente.

«La colaboración entre humanos y IA en la detección de vulnerabilidades está marcando un antes y un después en la ciberseguridad. Proyectos como Glasswing demuestran que la tecnología puede anticiparse a los riesgos antes de que sean explotados».

— Chris Goettl, vicepresidente de gestión de productos en Ivanti