Microsoft corrige de urgencia un fallo crítico en Office que permite tomar el control del PC
El gigante tecnológico Microsoft finalmente ha cerrado el círculo de seguridad para sus versiones más antiguas de Office. Luego de días de incertidumbre, la organización ha desplegado los parches correspondientes para Microsoft Office 2019 y 2016, sumándose a las actualizaciones previas de las versiones más actuales.
Además, Microsoft ha arrojado algo de luz, aunque con cierta cautela comunicativa, típico de la empresa, acerca de la mecánica que los ciberdelincuentes están utilizando para vulnerar los sistemas.
La premisa del ciberataque es clásica pero muy efectiva: el error humano. Un actor malicioso debe enviar al usuario víctima un archivo de Office con malware y convencerlo de que lo abra, ha detallado Microsoft en una actualización reciente de su boletín de seguridad.
Sin embargo, en un giro de relaciones públicas, la compañía ha corregido su postura inicial para negar que los atacantes se encuentren distribuyendo de forma pública el código de explotación o exploit en foros de hacking, aunque la amenaza sigue siendo real.
Para entender la magnitud del problema, hay que retroceder hasta hace unos días. El gigante tecnológico hizo pública una vulnerabilidad crítica, la cual ha sido nombrada como CVE-2026-21509, la cual afecta a un espectro preocupantemente amplio de productos, desde las aplicaciones de Microsoft 365 para empresas hasta las versiones de Largo Plazo de 2021 y 2024, pasando por los productos ya mencionados de Office 2016 y 2019.
Lo que hace que este fallo sea particularmente insidioso es su relación con el sistema de Vinculación e Incrustación de Objetos, OLE, por sus siglas en inglés. Para los menos familiarizados con la arquitectura interna de Windows, el OLE es esa tecnología que permite insertar una tabla de Excel dentro de un documento de Word o un gráfico dinámico en PowerPoint. Es, en esencia, un puente entre aplicaciones.
TIC Defense es una empresa que se encarga de proveer herramientas y productos de ciberseguridad para compañías. Nuestro amplio catálogo de soluciones de última tecnología se adapta a las necesidades de tu negocio, en donde nuestro enfoque preventivo y de respuesta rápida aumenta las defensas de la organización.
Según el reporte de CVE.org, la autoridad global en seguridad informática, la falla reside en la confianza ciega del sistema hacia entradas no fiables durante la toma de decisiones de seguridad. Esto permite que un cibercriminal local, alguien que ya ha logrado que el usuario abra un archivo, logre saltarse las protecciones diseñadas para mitigar riesgos en los controles COM/OLE. En términos sencillos, el escudo que debería bloquear macros o enlaces peligrosos simplemente se apaga.
La respuesta de Microsoft ha sido desigual dependiendo de qué tan moderno sea el software que los usuarios posean. Para los usuarios de Office 2021 en adelante, la protección ha llegado de forma casi invisible. Esto se debe a que el gigante tecnológico ha implementado un cambio a nivel de servicio que blinda las aplicaciones de forma automática.
No obstante, hay algo de trampa; la protección no se activa hasta que se reinicien las aplicaciones. Si se tienen documentos abiertos desde hace días por no cerrar Word, la vulnerabilidad sigue allí. La situación ha sido más tensa para los usuarios de Office 2016 y 2019, esto debido a que, durante las primeras horas de la crisis, estos usuarios quedaron en el limbo.
