Microsoft publica récord de 622 CVEs en Patch Tuesday; CISA acelera alerta para SharePoint

El ciclo de julio es el mayor de la historia del programa. CISA agregó tres vulnerabilidades de SharePoint bajo explotación activa en el mismo día. La triage se convirtió en el verdadero cuello de botella de la operación.
Microsoft lanzó correcciones para 622 CVEs en el Patch Tuesday de este martes, 14 de julio, el mayor volumen en un solo ciclo desde el inicio del programa. Dos de estos errores, en Active Directory y SharePoint Server, están en explotación activa como zero-day. Un tercero es públicamente conocido, aunque aún no explotado.
En la misma fecha, la CISA emitió una alerta específica sobre la explotación activa de tres CVEs distintas de SharePoint on-premises. Las tres, CVE-2026-32201, CVE-2026-45659 y CVE-2026-56164, permiten ejecución remota de código y escalada de privilegios sin autenticación, y entran en el catálogo Known Exploited Vulnerabilities (KEV) con plazo de corrección obligatoria para agencias federales. Las versiones afectadas incluyen SharePoint Server Subscription Edition, 2019 y 2016.
El detalle operativo que preocupa es la persistencia post-explotación descrita por la agencia. Los atacantes extraen claves de máquina del IIS y utilizan técnicas de deserialización para mantener acceso incluso después del parche. Aplicar la actualización no cierra el incidente. Los equipos de respuesta que operan SharePoint on-premises necesitan rotar claves de máquina, revisar logs de IIS y cazar artefactos residuales antes de considerar el entorno limpio.
Dónde el problema deja de ser Microsoft
La elevación de privilegios en el VMSwitch de Windows (CVE-2026-57092, CVSS 9.9) es la vulnerabilidad individual más grave del ciclo. VMSwitch es el componente de Hyper-V que separa cargas dentro del mismo host físico. Una escalada en este punto rompe el aislamiento entre máquinas virtuales en el mismo servidor, lo que vuelve la falla crítica en entornos multi-tenant y en proveedores que consolidan clientes en hardware compartido. Azure Stack HCI y clusters privados que ejecutan Hyper-V están en la primera línea de exposición.
Analistas de la Zero Day Initiative señalaron, en un análisis del ciclo anterior, que el Patch Tuesday dejó de ser un ejercicio mensual y pasó a requerir triage casi diario. El volumen de 622 correcciones en un solo mes supera por amplio margen el récord histórico del programa. Los equipos de gestión de vulnerabilidades que operaban con cadencia mensual necesitan ahora procesar divulgaciones de terceros y de proveedores en una ventana quincenal, bajo el riesgo de acumular deuda de parches.
Lo que cambia para el CIO en Frankfurt, Londres y Tokio
La obligación legal de la CISA se restringe a agencias federales de EE. UU., pero la inclusión en el KEV funciona como señal técnica global. Bancos europeos que ejecutan SharePoint on-premises, incluyendo Deutsche Bank y BNP Paribas, junto a grupos financieros en Japón como MUFG y Mizuho, consideran la lista como parámetro de cumplimiento interno a pesar de no estar bajo la jurisdicción directa de la agencia americana. Auditores externos utilizan el KEV como benchmark en rutinas de SOC 2 e ISO 27001.
En India, los proveedores de servicios gestionados que atienden clientes globales tienen una ventana más estrecha. TCS, Wipro e Infosys operan contratos de parches y SIEM para decenas de bancos y aseguradoras estadounidenses, y la inclusión en el KEV activa SLAs internos de corrección, típicamente entre 24 y 72 horas para vulnerabilidades activas. Contratos plurianuales prevén multas por incumplimiento, lo que empuja a la operación a un régimen de guardia hasta el cierre del ciclo. Para Brasil, el cálculo es similar: bancos que operan SharePoint on-premises en entornos regulados por el Banco Central se apoyan en circulares sobre gestión de riesgo cibernético que consideran el KEV como referencia técnica, aunque no haya obligación formal.
Lo que no está en el comunicado
Ni Microsoft ni la CISA nombraron grupos detrás de la explotación. No hay atribución pública a actores estatales o motivados financieramente este martes. La ausencia es relevante: en ciclos anteriores en los que SharePoint fue blanco de campañas coordinadas, la atribución inicial provino de vendedores privados de threat intel, no del gobierno, y apuntó a grupos vinculados a China y Rusia. La falta de nombre en esta ronda no significa ausencia de atacantes conocidos, solo que la agencia optó por no confirmar públicamente.
El verdadero cuello de botella del ciclo es humano. Según el CVEbrief de este martes, el volumen de divulgaciones críticas creció alrededor de un 700% en comparación con el día anterior. Equipos de gestión de vulnerabilidades con diez personas o menos, que son la mayoría de las operaciones Global 2000, no pueden priorizar seiscientos ítems en tres días hábiles. La pregunta operacional dejó de ser "cuándo aplicar" y pasó a ser "qué aceptar como riesgo residual hasta el próximo ciclo", con decisión explícita de negocio sobre qué servidores quedan expuestos por una semana adicional. La respuesta a esta pregunta es donde los CISOs van a gastar los próximos quince días, no en la aplicación técnica del parche.