Microsoft parchea 570 vulnerabilidades en un solo Patch Tuesday — récord histórico — y la causa es la IA. Incluye una en Age of Empires II

Publicado el

Microsoft parchea 570 vulnerabilidades en un solo Patch Tuesday — récord histórico — y la causa es la IA. Incluye una en Age of Empires II

El Patch Tuesday de julio de 2026 de Microsoft no tiene precedentes: 570 vulnerabilidades parcheadas en una sola actualización mensual. El anterior récord estaba en torno a las 300. Dos de esas vulnerabilidades eran zero-days activamente explotados. Y entre las 570, una que probablemente nadie esperaba encontrar: un fallo de ejecución remota de código en Age of Empires II Definitive Edition que permite a un atacante tomar el control de tu ordenador enviándote una invitación de partida.

Lo reportan Dominic Preston en TechCrunch el 15 de julio.

Por qué hay 570 parches y qué significa

Microsoft ha dado una explicación pública que, de ser cierta, es estructuralmente importante: la IA está descubriendo vulnerabilidades en código antiguo más rápido de lo que los ingenieros humanos podían hacerlo. El jefe del área de Windows, Pavan Davuluri, lo dijo directamente: «A medida que la IA ayuda a los defensores a descubrir más problemas, los clientes verán un mayor volumen de actualizaciones de seguridad en cada versión.»

El código de Windows tiene décadas. Millones de líneas de C y C++ escritas en los años 90 y principios de los 2000, cuando los estándares de programación segura eran diferentes, siguen activas en productos actuales. Los humanos llevaban años sin poder revisarlo todo sistemáticamente. Los modelos de IA aplicados a auditoría de código pueden escanear ese repositorio a una velocidad y profundidad que los equipos humanos no pueden igualar.

El resultado de ese análisis exhaustivo es lo que estamos viendo en julio de 2026: un backlog de vulnerabilidades descubiertas que Microsoft está parcheando todas a la vez. 570 parches en julio no significa que Windows sea de repente 500 veces más inseguro que el mes pasado. Significa que la IA encontró 500 cosas que los humanos no habían encontrado en años, y Microsoft decidió comunicarlo con transparencia.

Los dos zero-days activos

De las 570 vulnerabilidades, dos estaban siendo explotadas en la naturaleza antes del parche:

CVE-2026-56155: Un fallo en Windows Server que permite a un usuario de bajo privilegio escalar hasta permisos de administrador del sistema. Un atacante con una cuenta limitada en un servidor Windows puede usar este bug para convertirse en administrador sin autorización. CISA incluyó este CVE en su catálogo de vulnerabilidades explotadas conocidas y emitió una alerta directa.

SharePoint: Un fallo en SharePoint Online/Server cuyo CVE CISA también alertó como activamente explotado. No se publicaron más detalles sobre el vector de ataque específico por precaución.

Age of Empires II y la nueva superficie de ataque del gaming

El fallo más inesperado de los 570 es el CVE-2026-50663: una vulnerabilidad de ejecución remota de código en Age of Empires II Definitive Edition, el clásico de estrategia en tiempo real que Microsoft relanzó en 2019 con gráficos actualizados.

El vector de ataque es específico: un atacante envía una invitación de partida maliciosa a la víctima. Si la víctima acepta unirse al lobby de juego online, el atacante puede ejecutar código arbitrario en su ordenador. No necesita que la víctima haga click en ningún enlace sospechoso, descargue ningún archivo ni ingrese a ninguna web. Aceptar el lobby de un desconocido es suficiente.

El fallo no tiene evidencia de explotación en el entorno real. Pero el vector es preocupante porque los videojuegos son un vector de distribución de malware infraestimado. Los gamers están acostumbrados a aceptar invitaciones de personas que no conocen bien. Los usuarios de PC que juegan al Age of Empires II son habitualmente los mismos que tienen acceso a ficheros corporativos, herramientas de trabajo y cuentas de correo. Una vez que el atacante ejecuta código en el equipo de la víctima, esas rutas están abiertas.

Las problemáticas de ciberseguridad que los expertos llevan años señalando incluyen exactamente este tipo de superficie de ataque inesperada: los usuarios no ven los videojuegos como vectores de ataque, lo que los hace especialmente vulnerables. El FBI catalogó el extremismo antitech y los ataques coordinados como categoría de amenaza nueva en 2026, pero los ataques de estado-nación a ciudadanos a través de aplicaciones cotidianas —incluyendo juegos— llevan años siendo una herramienta documentada. Los estándares voluntarios que la administración Trump está negociando con los labs de IA incluyen evaluaciones previas al lanzamiento de modelos con capacidades de ciberseguridad ofensiva, precisamente porque la IA puede usarse para descubrir estos vectores en producción.

Mi valoración

Los 570 parches de julio me parecen una buena noticia presentada de forma preocupante. La buena noticia: Microsoft tiene herramientas de IA que encuentran bugs más rápido que antes, y está parcheándolos. La parte preocupante: significa que durante años hubo cientos de vulnerabilidades sin encontrar en código de producción de Windows, y que probablemente hay más. El backlog visible no es el backlog total.

Lo que más me convence de la transparencia de Microsoft es el propio comunicado de Davuluri: reconocer que la IA está encontrando más bugs y que eso se va a ver en más actualizaciones es más útil que pretender que el incremento de parches no tiene explicación.

Lo que más me preocupa es el Age of Empires II: un juego de 1999, relanzado en 2019, con millones de usuarios activos, que tiene un fallo de RCE que se activa aceptando una invitación de partida. Ese tipo de vulnerabilidad en una aplicación que los usuarios usan sin pensarlo dos veces es exactamente lo que los actores sofisticados buscan.

Preguntas frecuentes

¿Qué debo hacer si juego al Age of Empires II Definitive Edition?

Actualiza Windows de inmediato a través de Windows Update. El parche para CVE-2026-50663 está incluido en la actualización de julio de 2026. Hasta que hayas instalado el parche, evita aceptar invitaciones de partida de personas que no conozcas bien en Age of Empires II Definitive Edition.

¿Los zero-days de este Patch Tuesday me afectan si no tengo un servidor Windows?

CVE-2026-56155 afecta a Windows Server, por lo que el riesgo directo para usuarios de Windows 11/10 en el hogar es limitado. El fallo de SharePoint puede afectar a usuarios que accedan a SharePoint Online si los atacantes han comprometido servidores de sus organizaciones. El parche cubre ambos casos. La recomendación estándar aplica: mantener Windows actualizado.

¿Otros videojuegos podrían tener fallos similares al de Age of Empires II?

Sí. Los motores de networking de juegos online, especialmente en títulos con código antiguo, son una superficie de ataque poco estudiada en comparación con navegadores o sistemas operativos. La IA aplicada a auditoría de código está revisando por primera vez sistemáticamente esta categoría. Es probable que en los próximos meses veamos más CVEs relacionados con videojuegos a medida que el análisis avanza.