Quinientas setenta correcciones en un solo martes

El Microsoft Security Response Center publicó su actualización de julio el martes 14 de julio, y la lista no terminó donde nadie esperaba. Microsoft corrigió 570 vulnerabilidades en una sola entrega. Su récord anterior, fijado seis semanas antes en junio, era de 206. Cincuenta y nueve de los fallos de julio están clasificados como críticos, y 48 de ellos permiten la ejecución remota de código. El desglose completo alcanza 254 fallos de elevación de privilegios, 145 de ejecución remota de código, 102 de divulgación de información, 35 de denegación de servicio, 17 elusiones de funciones de seguridad y 16 fallos de suplantación. La cifra no incluye los fallos de Chromium que hereda Edge.

Por qué importa. Una ventana mensual de parches es una cantidad fija de horas de trabajo. El número de elementos que hay que empujar por ella casi se ha triplicado, y el fabricante ha dicho por escrito que esto no es un pico aislado. Cualquier proceso que dé por supuesto que un administrador puede leer la lista, sopesar cada entrada y decidir, se rompió el martes.

Dos ya se usan contra ADFS y SharePoint

Tres de los 570 son de día cero, y dos de ellos están bajo ataque activo. CVE-2026-56155 es un fallo de elevación de privilegios en Active Directory Federation Services, donde un control de acceso poco granular permite a un atacante autorizado elevar sus privilegios en local. CVE-2026-56164 es un fallo de elevación de privilegios en SharePoint Server, donde la falta de comprobación de autenticación en una función crítica permite a un atacante no autenticado elevar privilegios a través de la red. El tercero, CVE-2026-50661, es una elusión de la función de seguridad de BitLocker ya divulgada públicamente.

Ninguno de los dos fallos explotados es exótico, y ahí está la cuestión. Active Directory Federation Services es la máquina que emite sus tokens de federación. En SharePoint están sus contratos, sus documentos de consejo y sus listas de clientes. Quien eleva privilegios en cualquiera de los dos no necesita un segundo exploit para llegar al resto. Si usted opera alguno de ellos en sus propias instalaciones, son las dos únicas entradas de la lista de julio que exigen una decisión hoy. El INCIBE suele emitir aviso propio cuando un fallo de este tipo ya se explota.

La elusión de BitLocker ataca una defensa jurídica, no un portátil

CVE-2026-50661 permite a un atacante con acceso físico llegar a los datos de un volumen cifrado. Leído como un problema de ingeniería, es un fallo de dispositivo que exige tener la máquina en la mano. Leído como un problema europeo de cumplimiento, es otra cosa. El artículo 34 del RGPD establece que el responsable no tiene que comunicar la violación a los interesados cuando los datos expuestos se hicieron ininteligibles para quien no está autorizado, y el cifrado completo del disco es la razón por la que la mayoría de los portátiles perdidos o robados nunca llegan a ser un incidente notificable.

La consecuencia. Ese razonamiento se sostiene si el cifrado aguanta. Una elusión publicada lo vuelve discutible, y ahora el argumento lleva un número de CVE que cualquier autoridad de control puede consultar. El plazo de 72 horas del artículo 33 no se detiene mientras usted fija su postura. Quien presenta BitLocker como su respuesta ante un equipo perdido debería tener este parche desplegado en el parque antes de que desaparezca el siguiente portátil, y poder acreditar la fecha.

Microsoft dice que la avalancha es el nuevo punto de partida

El salto no es un mal mes de código. El 9 de julio, cinco días antes de la entrega, Microsoft publicó una entrada en el Windows Experience Blog en la que explicaba que ha pasado un sistema de IA llamado MDASH, su arnés de escaneo agéntico con varios modelos, por toda la base de código de Windows. MDASH analiza binarios críticos y valida lo que encuentra con varios modelos. Su primera cosecha pública, en mayo, fueron 16 CVE hasta entonces desconocidos, cuatro de ellos fallos críticos de ejecución remota de código en componentes centrales como la pila del kernel TCP/IP, el servicio IKEv2, Netlogon y la biblioteca de la API de DNS. Microsoft dijo a sus clientes sin rodeos que esperasen un volumen más alto de actualizaciones de seguridad en cada entrega.

Esto no se limita a un solo fabricante. Chrome 150 salió con 433 correcciones de seguridad. Adobe ha pasado a dos entregas al mes y Mozilla a un ritmo quincenal. El sector ha mecanizado el hallazgo de sus propios fallos y ha mantenido el ritmo al entregárselos. Su capacidad de absorberlos no se ha movido nada.

Cambie la métrica antes de cambiar el calendario

El instinto es pedir más horas de parcheo. Esa es la palanca equivocada, porque la entrada ya no tiene tope. La respuesta viable consiste en dejar de tratar la lista de CVE como una cola que hay que vaciar y empezar a tratarla como una señal que hay que filtrar. Dos filtros hacen casi todo el trabajo: si el fallo se está explotando y si el sistema afectado es alcanzable desde fuera. Tres de los 570 fallos superaron el primer filtro este mes. Esa sí es una lista que una persona puede leer.

La conclusión. La métrica del consejo tiene que moverse con ella. Un porcentaje de cobertura de parches mide hoy el escáner de Microsoft y no sus defensas, y cada mes se verá peor mientras significa menos. Informe en su lugar del tiempo que tardó en parchear los fallos explotados y expuestos a internet. Esa cifra es suya, es lo bastante pequeña como para defenderla y es la única que le importa a un atacante.