ciberataque, Ciberseguridad, Malware, Mantenimiento informático, servicios informáticos, Soluciones informáticas, Vulnerabilidad

0-day Microsoft Office: parche urgente por explotación activa

Posted on by Juan Pedro Perea
07
Feb

El 0-day Microsoft Office CVE-2026-21509 ha obligado a Microsoft a lanzar una actualización de emergencia tras confirmarse su explotación activa en ataques reales. Este fallo permite eludir una función de seguridad de Office mediante documentos manipulados, aumentando el riesgo de infecciones por correo malicioso en entornos domésticos y empresariales.

¿Qué es el 0-day Microsoft Office CVE-2026-21509?

El 0-day Microsoft Office es una vulnerabilidad de tipo security feature bypass que permite esquivar mecanismos de protección diseñados para bloquear comportamientos peligrosos en documentos de Office.

En la práctica, un atacante puede utilizar archivos especialmente preparados para aprovechar componentes heredados integrados en documentos, una técnica habitual en campañas de malware dirigidas.

Cómo se explota el 0-day Microsoft Office

La explotación del 0-day Microsoft Office requiere interacción del usuario. El vector de ataque más habitual es el envío de documentos maliciosos por correo electrónico o mensajería, normalmente dentro de campañas de phishing.

Microsoft ha confirmado que el panel de vista previa no es vulnerable, pero abrir el documento en un sistema sin parchear es suficiente para quedar expuesto.

Gravedad y explotación activa del 0-day Microsoft Office

La inclusión del 0-day Microsoft Office CVE-2026-21509 en el catálogo Known Exploited Vulnerabilities (KEV) confirma que está siendo utilizado activamente por atacantes. Las agencias federales de Estados Unidos tienen como fecha límite el 16 de febrero de 2026 para aplicar el parche, lo que refleja la criticidad del fallo.

Este tipo de vulnerabilidades suelen integrarse rápidamente en campañas masivas de correo malicioso y ataques dirigidos a empresas.

Recomendaciones ante el 0-day Microsoft Office

Para reducir el riesgo asociado al 0-day Microsoft Office, se recomienda:

  • Aplicar de inmediato la actualización de seguridad publicada por Microsoft
  • Extremar la precaución con documentos recibidos por correo o mensajería
  • Reforzar filtros antiphishing y políticas de adjuntos
  • Mantener los sistemas actualizados y monitorizados

👉 Más información sobre nuestros servicios profesionales de ciberseguridad:
https://ghmsolucionesinformaticas.es/ciberseguridad/

Para recomendaciones y alertas oficiales, puede consultarse el Instituto Nacional de Ciberseguridad (INCIBE):
https://www.incibe.es

Fuentes

https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html
https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/

Juan Pedro Perea

Error: Formulario de contacto no encontrado.