Microsoft corrige tres fallas en Windows/Exchange—¿los atacantes ya las están explotando en la práctica?

El 2026-04-13, NVD (NIST) publicó registros de vulnerabilidades para tres fallas de Microsoft: CVE-2023-21529 que afecta a Microsoft Exchange Server, CVE-2025-60710 que afecta a Microsoft Windows y CVE-2023-36424 que afecta al controlador Microsoft Windows Common Log File System (CLFS). CVE-2023-21529 es un fallo de deserialización de datos no confiables que puede permitir que un atacante autenticado logre ejecución remota de código, lo que lo vuelve especialmente peligroso para organizaciones que exponen Exchange a sesiones autenticadas. CVE-2025-60710 es una vulnerabilidad de “link following” que puede habilitar la escalada de privilegios, mientras que CVE-2023-36424 es un fallo de lectura fuera de límites que también podría permitir escalada de privilegios. En las tres entradas, la acción requerida es aplicar las mitigaciones del fabricante según la guía de Microsoft y seguir las instrucciones aplicables de BOD 22-01 para servicios en la nube y el manejo operativo. Geopolíticamente, este conjunto importa porque la intrusión en servidores y endpoints de Microsoft funciona como un multiplicador de fuerza para operaciones cibernéticas vinculadas a Estados, al habilitar espionaje, persistencia e intrusiones en etapas posteriores contra gobiernos e infraestructura crítica. La ejecución remota en Exchange (CVE-2023-21529) es una vía de alto apalancamiento: una vez que los atacantes obtienen control, pueden pivotar hacia sistemas de identidad, usar ingeniería social basada en correo y moverse lateralmente por redes empresariales. Las fallas de escalada de privilegios en Windows (CVE-2025-60710 y CVE-2023-36424) elevan la probabilidad de que el acceso inicial se convierta en posiciones con mayores privilegios sin necesidad de vulnerabilidades adicionales. En este contexto, los defensores que parchean con rapidez reducen la ventana de explotación, mientras que los atacantes se benefician de cualquier demora, sobre todo en entornos con configuraciones heredadas, ciclos de parcheo lentos o superficies de autenticación expuestas. Las implicaciones de mercado y económicas son indirectas pero relevantes: suele aumentar el gasto en seguridad TI empresarial, la demanda de herramientas de gestión de parches y la capacidad de respuesta a incidentes tras clusters de vulnerabilidades explotables de forma remota o que permiten escalada de privilegios. El riesgo más inmediato recae en organizaciones que ejecutan Exchange Server y endpoints Windows, que pueden enfrentar paradas, pérdida de datos y costos de cumplimiento si ocurre explotación, lo que potencialmente incrementa reclamaciones de seguros y primas de ciberseguros. Los proveedores de ciberseguridad y los servicios gestionados suelen recibir apoyo de sentimiento cuando la urgencia de parcheo es alta, mientras que las empresas con grandes huellas de Microsoft pueden enfrentar primas de riesgo operativo de corto plazo. En términos de divisas y tasas, el impacto macro directo probablemente sea limitado, pero puede aparecer volatilidad sectorial en servicios de TI, seguridad en la nube y ciberseguros a medida que los inversores revalúan el riesgo cibernético. Lo que conviene vigilar a continuación es si Microsoft emite o actualiza avisos de seguridad vinculados a estos CVE y si los proveedores de inteligencia de amenazas reportan explotación activa en el mismo periodo. Como disparadores operativos, las organizaciones deben verificar el estado de despliegue de parches para Exchange Server y confirmar que las mitigaciones de escalada de privilegios en Windows se aplicaron a los componentes afectados, incluidas las superficies relacionadas con CLFS. El monitoreo debe incluir anomalías de autenticación contra Exchange, creación inusual de procesos tras sesiones autenticadas y eventos de cambio de privilegios coherentes con intentos de escalada. El riesgo de escalamiento aumenta si aparecen indicadores de explotación antes de que exista una cobertura amplia de parches, mientras que la desescalada es más probable si la telemetría muestra contención rápida y ausencia de señales de comportamiento “wormable”. El calendario inmediato estará dominado por las ventanas de parcheo y las aprobaciones internas de gestión de cambios posteriores a la publicación de NVD.

Implicaciones Geopolíticas

• 01

  Los actores cibernéticos vinculados a Estados pueden aprovechar la ejecución remota en Exchange y la escalada de privilegios en Windows para ampliar el acceso y la persistencia.

• 02

  La rapidez al parchear se convierte en una restricción estratégica sobre el tiempo de permanencia del adversario y su capacidad operativa.

• 03

  La intrusión en sistemas cercanos a la identidad mediante Exchange puede amplificar riesgos posteriores para infraestructura crítica y, en consecuencia, para la dimensión geopolítica.

Señales Clave

• —Actualizaciones de avisos de Microsoft y reportes públicos de explotación para estos CVE.
• —Anomalías de autenticación en Exchange y creación sospechosa de procesos tras la autenticación.
• —Telemetría de Windows/CLFS que indique intentos de escalada de privilegios.
• —Cobertura de parches y plazos de gestión de cambios en Exchange y flotas Windows.