Dos administradores, un parche, un julio muy distinto
Imagine dos empresas con el mismo servidor SharePoint local. Una aplicó la actualización de seguridad de Microsoft de mayo de 2026 en la semana en que salió. La otra lo archivó como rutina y siguió adelante, tranquilizada por la propia nota de Microsoft de que la explotación era menos probable. El 1 de julio, la agencia estadounidense CISA añadió ese mismo fallo, CVE-2026-45659, a su catálogo de vulnerabilidades explotadas conocidas, citando evidencias de ataques activos en circulación. El primer administrador ya estaba a salvo. El segundo tiene ahora un problema urgente con un plazo público asociado.
CISA dio a las agencias federales estadounidenses hasta el 4 de julio para parchear. Esa fecha no es su obligación, pero la inclusión es su aviso: una vulnerabilidad a la que alguien restó importancia en mayo se usa contra objetivos reales en julio.
El fallo en términos sencillos
CVE-2026-45659 es una vulnerabilidad de ejecución remota de código causada por deserialización insegura de datos no confiables, con una puntuación de gravedad de 8.8 sobre 10. En la práctica significa que un atacante puede hacer que el servidor ejecute el código que elija. Afecta a los productos locales, es decir SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016, y no al SharePoint alojado en la nube de Microsoft 365.
El detalle que eleva las apuestas es la baja barrera de entrada. Explotar el fallo no requiere derechos de administrador; basta una sola cuenta con permisos ordinarios de Miembro del sitio. La mayoría de las organizaciones conceden ese nivel de acceso a contratistas, personal temporal y decenas de usuarios habituales. Una sola de esas credenciales, robada por phishing o reutilizada, es toda la llave.
La brecha entre improbable y explotado
Cuando Microsoft lanzó la solución en mayo, etiquetó el fallo como de explotación menos probable, una previsión razonable que resultó errada en semanas. Esa brecha es la razón por la que las clasificaciones de gravedad del proveedor deben marcar su orden de parcheo, no su decisión de parchear. Una clasificación predice el comportamiento del atacante; una inclusión de CISA en vulnerabilidades explotadas lo registra. Cuando ambas discrepan, gana el registro, y acaba de hacerlo.
El patrón no es nuevo. Los servidores de colaboración locales, expuestos a internet y ricos en datos internos, están entre el software más fiablemente atacado en los parques empresariales. Una nota de gravedad rebajada es un pronóstico, y los pronósticos son justo lo que a los atacantes se les paga por romper.
Por qué NIS2 cambia lo que está en juego, y qué hacer ahora
Para los operadores europeos la consecuencia es tanto regulatoria como técnica. Bajo la directiva NIS2, las organizaciones dentro de su ámbito deben gestionar las vulnerabilidades conocidas y pueden enfrentar escrutinio y sanciones si no lo hacen. En España, INCIBE y la transposición española dan cuerpo a ese marco. Un fallo que figura en una lista pública de vulnerabilidades explotadas, con un parche disponible desde mayo, es casi la prueba más clara posible de que existía una solución y no se aplicó. Tras un incidente, ese es el primer documento que un investigador levantará.
La acción es concreta e inmediata. Confirme si opera alguna de las tres versiones locales afectadas de SharePoint. Si es así, aplique la actualización de mayo de 2026 ahora y busque señales de compromiso en lugar de suponer que la actualización por sí sola cierra la puerta. Luego trate el catálogo de CISA, no la etiqueta de gravedad del proveedor, como su disparador para el próximo caso de estos, porque siempre hay uno más.
Leer a continuación: Dos fallos de Cursor con 9.8 entregan la máquina del desarrollador a los atacantes | Una sola brecha de proveedor causó la mitad de las víctimas de ransomware en Europa



