🔥 Polémica
Microsoft parcheó 570 vulnerabilidades en un solo día — la IA está acelerando el caos
Microsoft acaba de soltar una bomba que debería preocuparte aunque no uses Windows: 570 vulnerabilidades parcheadas en un solo día. No es un error. Es el Patch Tuesday más grande en la historia de la compañía, casi el triple del récord anterior que fue el mes pasado.
Y lo más inquietante: la propia Microsoft admite que la IA está detrás tanto del descubrimiento de estos agujeros de seguridad como de su explotación por parte de atacantes.
Esto no es una exageración. Son datos concretos. Y deberías saber exactamente qué pasó y cómo protegerte.
Las cifras que asustan
El boletín de seguridad de julio de 2026 incluye:
- 570 vulnerabilidades corregidas en total, casi 3× más que el récord de junio
- 60 fallos críticos que permiten ejecución remota de código sin interacción del usuario
- 3 zero-days, de los cuales 2 ya estaban siendo explotados activamente por atacantes
- ~250 fallos de elevación de privilegios, el tipo de bug que permite a un atacante tomar control total de tu equipo
Dos de esos zero-days permiten a un atacante elevar sus privilegios en el sistema. Eso significa que si ya lograron colarse en tu PC, pueden convertirse en administrador con todos los poderes.
El rol de la IA: espada de doble filo
En una publicación del 9 de julio, el vicepresidente ejecutivo de Microsoft, Rajesh Davuluri, lo dijo sin rodeos:
"El ritmo de descubrimiento de vulnerabilidades está cambiando con los avances en IA, lo que permite encontrar más problemas, más rápido, en más código."
Suena bien, ¿verdad? La IA encuentra bugs más rápido, así que Microsoft los parchea más rápido. Pero hay un problema enorme: la misma tecnología ayuda a los atacantes a crear exploits funcionales en minutos.
El equipo de seguridad de Anthropic demostró que su modelo Mythos Preview pudo generar exploits funcionales para 13 de 14 vulnerabilidades que Microsoft había clasificado como "poco probables de ser explotadas". Trece de catorce. Eso es un 93% de efectividad en crear ataques automáticos a partir de informes de seguridad.
El caso del zero-day que Microsoft subestimó
Uno de los zero-day más preocupantes es el CVE-2026-37781, un fallo de ejecución remota de código en Microsoft Copilot con una puntuación CVSS de 9.6 sobre 10. Un atacante podía alojar un sitio web malicioso que obligaba a Microsoft Edge para Android a enviar solicitudes falsificadas al backend de Copilot.
Pero el caso más bochornoso fue el zero-day de SharePoint. Microsoft le dio una calificación de "explotación poco probable". Días después, la CISA lo agregó a su lista de vulnerabilidades explotadas conocidas. Básicamente, el gobierno de EE.UU. le dijo a Microsoft: "esto no es 'poco probable', ya lo están usando para atacar".
¿La moraleja? La escala humana ya no alcanza para predecir qué es explotable. La IA encuentra exploits más rápido de lo que los humanos pueden clasificarlos.
No solo Microsoft: la tormenta perfecta
Esto no es un problema aislado de Microsoft. Adobe también anunció que se muda a boletines de seguridad quincenales (dos veces al mes), citando también a la IA como razón. Y Google parcheó más de 900 fallos solo en junio de 2026.
La industria del software está en una carrera armamentista donde la IA acelera ambos lados: los defensores encuentran más bugs, pero los atacantes escriben exploits más rápido. Y por ahora, los atacantes van ganando.
¿Qué deberías hacer?
Aquí van recomendaciones prácticas, no alarmistas:
- Espera unos días antes de actualizar. Suena contradictorio, pero los parches de seguridad a veces rompen cosas. Espera 3-4 días a que los reportes de estabilidad confirmen que no hay dramas. La excepción: si trabajas en seguridad crítica, actualiza ya.
- Prioriza las actualizaciones de los zero-days. Cuando Microsoft publique los boletines individuales, busca los que mencionen "exploración activa" y aplícalos primero.
- Activa el actualizaciones automáticas de Windows. Sí, duelen cuando reinician tu PC en medio de una partida. Pero duele más tener que formatear porque un script ruso te encriptó los archivos.
- Respalda tus datos AHORA. No esperes al parche. Un backup externo te salva incluso si el ataque ya ocurrió. Regla: 3-2-1 (3 copias, 2 medios distintos, 1 fuera de casa).
- Desinstala lo que no uses. Cada programa instalado es una superficie de ataque. Si no has abierto SharePoint en 6 meses, ¿para qué lo tienes instalado?
Dato shockeante: De las 570 vulnerabilidades parcheadas, más de la mitad (250+) eran de elevación de privilegios. Eso significa que si un atacante ya tiene acceso limitado a tu sistema, probablemente puede convertirse en administrador. La seguridad por capas no es opcional, es la única defensa que funciona.
La pregunta incómoda
Si la IA encuentra 570 bugs en un mes en los productos de una sola empresa, ¿cuántos bugs no descubiertos hay en el software que usas todos los días?
La respuesta honesta: miles. La diferencia es que ahora, por primera vez, los atacantes también tienen IA para encontrarlos primero.
Comparte esto con alguien que todavía dice "a mí no me va a pasar" — la seguridad digital ya no es opcional, es tan básica como cerrar la puerta de tu casa.