Patch Tuesday junio 2026: 200 fallas y 6 cero-day en

Microsoft lanzó su Patch Tuesday de junio 2026 el martes 9 de junio y cerró 200 vulnerabilidades de una vez, incluidas seis de día cero (cinco divulgadas públicamente y una ya explotada en ataques reales). De ese total, 33 son críticas y 28 de ellas permiten ejecución remota de código. Es uno de los lotes más pesados del año.

Si administrás servidores Windows o sos responsable de seguridad en una empresa, este mes te toca priorizar. No es un Patch Tuesday más de relleno: hay un cero-day activo dando vueltas y un volumen de parches que no se ve seguido.

El Patch Tuesday es el ciclo mensual de actualizaciones de seguridad de Microsoft, que sale siempre el segundo martes de cada mes. El de junio 2026 corrige 200 fallas en productos como Windows, Office, Exchange Server, SharePoint y Microsoft Defender, e incluye seis vulnerabilidades de día cero según el reporte de BleepingComputer. Una de esas seis ya estaba siendo usada por atacantes antes de que existiera el parche.

¿Cuántos cero-days y vulnerabilidades críticas hay en junio 2026?

Arranquemos por los números, que es lo que todos buscan. El Patch Tuesday de junio 2026 trae 200 fallas. De esas, 33 están catalogadas como “Críticas”: 28 de ejecución remota de código, 4 de elevación de privilegios y 1 de divulgación de información.

Ahora bien, el detalle por categoría muestra claramente adónde apuntan los atacantes hoy. Acá va el desglose completo:

Categoría	Cantidad
Elevación de privilegios (EoP)	65
Ejecución remota de código (RCE)	55
Divulgación de información	30
Spoofing	27
Bypass de funciones de seguridad	19
Denegación de servicio (DoS)	7

Profundizamos en este detalle en nuestro análisis sobre cómo Microsoft fue atacado con malware.

La categoría más grande es la de escalada de privilegios, con 65 fallas. ¿Por qué importa? Porque una escalada de privilegios es la pieza que un atacante encadena después de meter el pie en la puerta. Primero entra con un RCE, después escala a administrador con un EoP. Ese combo es el pan de cada día del ransomware moderno.

¿Qué hace especialmente grave a este Patch Tuesday?

Dos cosas. El volumen y el cero-day activo.

El volumen primero: 200 fallas en un solo mes es bastante por encima del promedio. Y ojo con un detalle que mucha gente pasa por alto: ese número de Microsoft no incluye los 360 parches de Edge/Chromium que liberó Google este mismo mes por separado, ni las correcciones en Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Exchange Online y Microsoft Graph que salieron antes en junio. Sumá todo y el panorama de actualización es enorme.

El cero-day activo es lo que realmente debería preocuparte. Una de las seis vulnerabilidades de día cero ya estaba siendo explotada en ataques reales antes de que Microsoft sacara el parche. Eso significa que durante un tiempo los defensores no tenían nada con qué taparla. Las otras cinco fueron divulgadas públicamente (el detalle técnico ya circula), así que esperá intentos de explotación masiva en los próximos días.

¿Qué productos de Microsoft están afectados?

El parche toca el catálogo pesado de Microsoft. Según el boletín, los productos impactados incluyen:

• Windows 11 y Windows 10: las actualizaciones acumulativas KB5094126, KB5093998 (Win 11) y KB5094127 (Win 10, ya en soporte extendido).
• Microsoft Office y Outlook: blancos clásicos de RCE vía documentos maliciosos.
• Exchange Server y SharePoint Server: on-premise, los más expuestos en empresas.
• Microsoft Defender: el propio antivirus entra en la lista.
• Azure HorizonDB y la suite Copilot: productos cloud más nuevos que ya aparecen en el radar de parches.

Relevante: cómo estos productos están también vulnerables en pipelines CI/CD sin parchear.

Si tu organización corre Exchange o SharePoint en servidores propios, andá directo a esos. Son los que más le interesan a un atacante con acceso a internet.

¿Qué es una vulnerabilidad de día cero y por qué da tanto miedo?

Una vulnerabilidad de día cero (zero-day) es una falla de seguridad que los atacantes conocen y explotan antes de que el fabricante tenga un parche disponible. El nombre viene de que el desarrollador tuvo “cero días” para arreglarla antes de que empezara a usarse.

El problema es de timing. Cuando un cero-day está activo, vos no tenés defensa específica: el antivirus puede no reconocerlo, el firewall lo deja pasar, y la única señal son comportamientos raros en los logs. Por eso, cuando Microsoft confirma que uno de los seis cero-days de junio ya se usó en ataques, el reloj corre en contra. Cada hora sin parchear es una ventana abierta.

¿Cuándo salió y cómo instalo los parches de junio 2026?

La fecha exacta es el 9 de junio de 2026, segundo martes del mes, fiel al patrón de siempre. Tenés tres caminos para instalar:

• Windows Update automático: si tu equipo está conectado, los parches bajan solos (normalmente el miércoles siguiente). Es lo más simple para usuarios hogareños.
• Microsoft Update Catalog: descarga manual de las KB puntuales. Útil cuando querés controlar qué se instala y cuándo.
• WSUS / Endpoint Manager: para entornos corporativos, donde primero se aprueba y se prueba antes del despliegue masivo.

Herramientas de automatización vulnerables: cómo mantenerlas actualizado.

La recomendación práctica, con un cero-day activo de por medio: instalá dentro de las 48 horas. Y si manejás infraestructura crítica, testealo primero en un entorno de no-producción para que un parche no te tire un servicio. Esa es la tensión de siempre: parchear rápido sin romper nada.

Plan de acción para empresas y equipos de IT

Si sos responsable de seguridad, este es el orden que tiene sentido seguir esta semana:

• Priorizá las 33 críticas, sobre todo las 28 RCE. Son las que un atacante puede disparar de forma remota sin credenciales.
• Identificá qué corrés. ¿Tenés Exchange, SharePoint o Defender on-premise? Esos sistemas van primero.
• Testeá antes de desplegar. Un ambiente de staging te evita el clásico “parché todo un viernes y el lunes no arrancaba nada”.
• Monitoreá los logs. Buscá intentos de explotación del cero-day activo mientras desplegás. La detección compra tiempo.

Para el seguimiento, tenés la Microsoft Security Update Guide online con los scores CVSS de cada CVE, el boletín de INCIBE-CERT con contexto en español, y los avisos del SANS Internet Storm Center que suele tener análisis técnico fino. Si gestionás todo esto sobre servidores propios o cloud, conviene revisar que tu infraestructura y el hosting donde corren tus servicios estén al día también; para alojamiento y dominios en Argentina, donweb.com es una opción local.

Errores comunes al manejar el Patch Tuesday

• Esperar “a ver si rompe algo” sin un plazo. Postergar está bien si tenés una ventana definida (48 horas, una semana). El error es postergar de forma indefinida hasta que te olvides. Con un cero-day activo, eso es jugar con fuego.
• Parchear solo Windows y olvidarse del resto. Office, Exchange y Defender también entran en este lote. Un Outlook sin actualizar es una puerta tan válida como un Windows viejo.
• Confundir los 360 parches de Chromium con los de Microsoft. Los de Edge/Chromium los liberó Google aparte. Si solo mirás el conteo de Microsoft, te queda toda esa superficie sin cubrir.
• Desplegar masivo sin testear en producción crítica. Un parche mal probado puede tirarte un servicio entero. El equilibrio es velocidad con una red de seguridad, no velocidad a ciegas.

Preguntas Frecuentes

¿Cuántas vulnerabilidades parcheó Microsoft en junio 2026?

Microsoft parcheó 200 vulnerabilidades en el Patch Tuesday de junio 2026, lanzado el 9 de junio. El número no incluye los 360 parches de Edge/Chromium que liberó Google por separado ni correcciones previas en productos cloud como Exchange Online y la suite Copilot.

¿Cuántos cero-days se arreglaron en junio de 2026?

Se corrigieron seis vulnerabilidades de día cero: cinco fueron divulgadas públicamente y una estaba siendo explotada activamente en ataques antes de que existiera el parche. Es la falla más urgente del lote.

¿Cuáles son las vulnerabilidades críticas de junio 2026?

Hay 33 vulnerabilidades críticas en total. De ellas, 28 son de ejecución remota de código (RCE), 4 de elevación de privilegios y 1 de divulgación de información. Las RCE son las prioritarias porque un atacante las dispara de forma remota. Podés ver alternativas de seguridad a GitHub si buscás opciones complementarias.

¿Cuándo debería instalar los parches de junio?

Lo recomendable es instalarlos dentro de las 48 horas posteriores al 9 de junio de 2026, por la presencia de un cero-day activamente explotado. En entornos corporativos, conviene probarlos en staging antes del despliegue masivo para evitar caídas de servicios.

¿Qué productos de Microsoft son los más afectados?

Los más expuestos son Exchange Server y SharePoint Server on-premise, junto con Windows 11, Windows 10, Office, Outlook y Microsoft Defender. Si corrés Exchange o SharePoint accesibles desde internet, esos deben ir primero en tu cola de parcheo.

Conclusión

El Patch Tuesday de junio 2026 no es para dejar pasar. Doscientas fallas, seis cero-days y uno de ellos ya usándose en ataques arman una combinación que pide acción rápida. La prioridad es clara: las 33 críticas primero, con foco en las 28 RCE y en los servidores Exchange y SharePoint expuestos.

El consejo concreto: identificá qué productos corrés, parcheá dentro de las 48 horas, testeá en staging si manejás infraestructura crítica y mantené un ojo en los logs mientras desplegás. Y no te olvides de que Edge/Chromium se actualiza aparte. Cubrir solo el conteo de Microsoft te deja media casa sin cerrar con llave.

Fuentes

• BleepingComputer – Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws
• INCIBE-CERT – Boletín de seguridad de Microsoft junio 2026
• SANS Internet Storm Center – Análisis del Patch Tuesday
• Infosertec – Microsoft corrige 200 vulnerabilidades en el Patch Tuesday de junio 2026