El Patch Tuesday de junio de 2026 de Microsoft llegó el 9 de junio con más de 200 correcciones y seis zero-days, uno de ellos ya siendo usado en ataques. Pero la historia más grande es la compañía que tuvo: la misma semana trajo zero-days explotados activamente en Check Point VPN, Oracle PeopleSoft, Cisco SD-WAN y Chrome, varios de ellos sin parche al momento de su divulgación. Si solo leíste el titular de Microsoft, parcheaste lo equivocado primero. Aquí está la semana completa, clasificada según lo que realmente se está explotando.
Dentro del lote del Patch Tuesday de junio de 2026: un número grande, un fallo urgente
Microsoft publicó correcciones para aproximadamente 200 a 206 vulnerabilidades según el rastreador que cuentes, lo que lo convierte en uno de los Patch Tuesdays individuales más grandes registrados. De esas, BleepingComputer informa que 33 están clasificadas como Críticas, 28 de ellas de ejecución remota de código.
Se divulgaron seis zero-days. Cinco eran públicos antes del parche pero aún no explotados:
| CVE | Componente | Tipo | Estado |
|---|---|---|---|
| CVE-2026-42897 | Exchange Server | Suplantación | Explotado activamente |
| CVE-2026-45586 | CTFMON (framework de traducción) | Elevación de privilegios | Divulgado públicamente |
| CVE-2026-49160 | HTTP.sys ("HTTP/2 Bomb") | Denegación de servicio | Divulgado públicamente |
| CVE-2026-45585 / CVE-2026-50507 | BitLocker | Omisión de función de seguridad | Divulgado públicamente (PoC, acceso físico) |
| CVE-2020-17103 | Controlador mini-filtro de Cloud Files | Elevación de privilegios | Divulgado públicamente |
El que importa para la priorización es CVE-2026-42897, el fallo de suplantación de Exchange Server, porque es el único fallo de Microsoft este mes confirmado en uso activo. CISA ya había señalado el problema subyacente de Exchange en su catálogo de Vulnerabilidades Explotadas Conocidas antes del parche. Si todavía ejecutas Exchange on-premise, este es tu primer movimiento.
La entrada no explotada más aterradora es CVE-2026-45657, una RCE del kernel de Windows clasificada con CVSS 9.8 que, según SOCRadar, permite a un atacante remoto y no autenticado ejecutar código a nivel SYSTEM sin interacción del usuario. Aún no se ha visto explotación, pero una RCE del kernel sin autenticación con 9.8 no se queda en lo teórico por mucho tiempo. El "HTTP/2 Bomb" de HTTP.sys (CVE-2026-49160) también merece atención si alojas servicios web públicos: una pequeña solicitud HTTP/2 manipulada obliga al servidor a procesar una cantidad desproporcionada de datos, y en hosts compartidos puede tumbar varios servicios a la vez.
La parte que los resúmenes pasan por alto: no fue solo Microsoft
El Patch Tuesday no ocurre en el vacío, y este mes colisionó con una racha brutal de zero-days de múltiples proveedores que ya estaban siendo explotados. El resumen semanal de eSecurity Planet enmarcó la semana en torno a zero-days, exploits de IA y riesgo de cadena de suministro por una buena razón.
Check Point VPN — CVE-2026-50751 (CVSS 9.3, explotado)
Un fallo lógico en la validación de certificados permite a un atacante remoto no autenticado establecer una sesión VPN sin una contraseña válida. Afecta a gateways que usan el protocolo obsoleto IKEv1 y que aceptan clientes de Acceso Remoto heredados sin requerir un certificado de máquina. El análisis forense muestra explotación desde el 7 de mayo de 2026, y Check Point ha vinculado al menos un incidente con la operación de ransomware Qilin. CISA lo añadió a su catálogo de Vulnerabilidades Explotadas Conocidas y, según BleepingComputer, dio a las agencias federales solo tres días —una fecha límite del 11 de junio— para parchear o aislar los sistemas afectados. ¿No puedes parchear de inmediato? Cambia a IKEv2, elimina el soporte de clientes heredados o haz obligatoria la autenticación por certificado de máquina. Un fallo de VPN perimetral siendo usado por un afiliado de ransomware es exactamente el escenario que sigue empujando a los equipos hacia el acceso de confianza cero por encima de los túneles VPN planos.
Oracle PeopleSoft — CVE-2026-35273 (CVSS 9.8, explotado)
Una RCE no autenticada en PeopleSoft Enterprise PeopleTools: el acceso de red por HTTP es suficiente para tomar control del servidor. Mandiant y The Hacker News informan que el grupo ShinyHunters (UNC6240) lo explotó como un verdadero zero-day entre el 27 de mayo y el 9 de junio, comprometiendo aproximadamente 300 instancias y robando datos de más de 100 organizaciones, el 68% de ellas en educación superior. La Universidad de Nottingham confirmó una brecha, con 454,600 registros de estudiantes publicados en el sitio de filtraciones del grupo. Oracle no publicó su aviso fuera de banda hasta el 10 de junio, así que estuvo sin parche todo el tiempo que estuvo siendo saqueado. Parchea de inmediato y asume que ha habido compromiso si ejecutas una instancia de PeopleSoft expuesta a internet.
Cisco SD-WAN Manager — CVE-2026-20245 (explotado, sin parche al momento de la divulgación)
Un fallo de inyección de comandos en la CLI de Catalyst SD-WAN Manager ejecuta comandos arbitrarios como root mediante cargas de archivos manipuladas. SOC Prime señala que requiere privilegios de netadmin (mediante credenciales robadas o encadenando fallos anteriores de SD-WAN), y los ataques observados enviaron cambios de configuración hacia los dispositivos edge. El PSIRT de Cisco supo de la explotación en junio y la divulgó temprano, el 5 de junio, sin parche ni solución alternativa disponible en ese momento. La remediación consiste en recolección de evidencia y endurecimiento hasta que se publique una corrección.
Chrome V8 — CVE-2026-11645 (explotado)
Google parcheó un zero-day del motor de JavaScript V8 bajo explotación activa. Los zero-days de navegador son territorio de ataques drive-by; deja que Chrome se actualice automáticamente y confirma que tu flota está en la compilación corregida.
Qué parchear primero
Quita los logos de los proveedores y clasifica según una sola pregunta: ¿se está explotando ahora mismo?
- Oracle PeopleSoft (CVE-2026-35273) — RCE no autenticada, robo masivo de datos en curso. Parchea y caza señales de compromiso hoy.
- Check Point VPN (CVE-2026-50751) — vinculado a ransomware, la fecha límite federal ya pasó. Parchea o aplica las mitigaciones de IKEv2/certificado ahora.
- Microsoft Exchange (CVE-2026-42897) — el único fallo explotado activamente del conjunto del Patch Tuesday.
- Cisco SD-WAN (CVE-2026-20245) — explotado sin parche; endurece y monitorea.
- Chrome V8 (CVE-2026-11645) — impulsa la actualización del navegador.
- RCE del kernel de Windows (CVE-2026-45657) — aún no explotada, pero es una RCE no autenticada con 9.8; prográmala antes de que se convierta en el #1.
Observa el patrón: los fallos más dañinos de esta semana no estaban en el gigantesco paquete de Microsoft, estaban en dispositivos edge y aplicaciones empresariales expuestas a internet (gateways VPN, sistemas de RR. HH., gestores de SD-WAN). Ahí es donde los atacantes están gastando su presupuesto de zero-days, porque un solo fallo no autenticado en una máquina pública vale más que un montón de escaladas de privilegios locales.
Esta es también la lección recurrente de los peores incidentes de 2026: la brecha suele empezar en algo que olvidaste que estaba expuesto a internet. Es la misma causa raíz detrás de la crisis de la cadena de suministro de npm del año y la nueva ola de ataques a agentes de IA: la superficie de ataque creció más rápido que la cadencia de parches de cualquiera.
Nosotros gestionamos nuestra propia infraestructura, así que semanas como esta no son abstractas: un Patch Tuesday récord más cuatro zero-days explotados es un martes real. Los equipos que lo superaron sin contratiempos no fueron los que parchearon más rápido en todos los frentes; fueron los que sabían cuáles de sus máquinas dan a internet y parchearon esas primero. Construye ese inventario antes de la próxima mala semana, porque la habrá.
Algunos enlaces pueden generarnos una comisión sin coste adicional para ti.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
