Según información del Centro de Tecnología de la Información y Transformación Digital (Seguro Social de Vietnam), Microsoft acaba de advertir sobre 114 vulnerabilidades de seguridad de alto impacto y graves que existen en sus productos en enero de 2026.
Estas vulnerabilidades pueden ser explotadas, causando inseguridad para los sistemas de información que utilizan productos de Microsoft, especialmente el sistema operativo Windows.
El punto más notable de esta actualización es que Microsoft confirmó que hay hasta tres vulnerabilidades desconocidas que se han parcheado, de las cuales al menos una ha sido explotada físicamente. Esto hace que el parche de enero de 2026 sea la principal prioridad para los equipos de seguridad y administración de sistemas.
Inmediatamente después de recibir la advertencia, la Seguridad Social de Vietnam verificó, revisó e identificó servidores y estaciones de trabajo que utilizan sistemas operativos que pueden verse afectados por las vulnerabilidades de seguridad mencionadas anteriormente. Para los casos afectados, se aplican medidas de actualización de parches para las vulnerabilidades de acuerdo con las instrucciones de Microsoft.
Además, la Seguridad Social de Vietnam también fortalece la supervisión y está preparada con planes de manejo cuando se detectan signos de explotación y ciberataques; al mismo tiempo, monitorea regularmente los canales de advertencia de las agencias funcionales y las grandes organizaciones sobre seguridad de la información para detectar oportunamente los riesgos de ciberataques.
Según las estadísticas de Microsoft, las 114 vulnerabilidades parcheadas incluyen 57 vulnerabilidades de escalada privilegiada, 22 vulnerabilidades de ejecución de código remota, 22 vulnerabilidades de fuga de información, 5 vulnerabilidades de falsificación, 3 vulnerabilidades que superan el mecanismo de seguridad y 2 vulnerabilidades de denegación de servicio. El panorama general muestra que la superficie del ataque todavía se centra fuertemente en los mecanismos privilegiados y el procesamiento de memoria.
La vulnerabilidad más peligrosa en este lanzamiento es CVE-2026-20805, una vulnerabilidad de fuga de información que no requiere autenticación para explotar la vulnerabilidad. Aunque no permite directamente el control del sistema, la fuga de información de memoria puede convertirse en un eslabón importante en cadenas de explotación más complejas.
Esta vulnerabilidad ha sido incluida por la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. en la lista de vulnerabilidades que están siendo explotadas, y también requiere que las organizaciones completen el parche antes del 3 de febrero de 2026.
Más preocupante para el entorno empresarial es la vulnerabilidad CVE-2026-20854 en los servicios de seguridad local. Este es un componente que desempeña un papel central en el mecanismo de autenticación y gestión de la información de inicio de sesión.
Según Microsoft, un atacante con derechos válidos puede ser explotado para ejecutar código remoto a través de la red, creando graves riesgos para los sistemas y la infraestructura interna.
Con la vulnerabilidad ya explotada en la práctica, Microsoft recomienda a las organizaciones que prueben e implementen parches en enero de 2026. En el contexto de que las cadenas de ataques son cada vez más sofisticadas y aprovechan al máximo las vulnerabilidades desconocidas, esta advertencia no es solo una actualización periódica, sino también un trabajo defensivo que debe llevarse a cabo lo antes posible.
Estas vulnerabilidades de seguridad con un alto y grave nivel de impacto pueden ser explotadas por los atacantes para llevar a cabo actos ilegales, causando el riesgo de inseguridad de la información y afectando los sistemas de información de agencias, organizaciones y empresas.
