Tabla de contenido
- Comprender las correcciones urgentes
- El ciclo de vida de una revisión de Windows Server
- Por qué los administradores de PKI deben realizar un seguimiento diferente de las correcciones urgentes
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- ¿Cómo puede ayudar la consultoría en cifrado?
- Conclusión
La autenticación basada en certificados es fundamental en los entornos modernos de Active Directory, ya que impulsa el acceso VPN, Windows Hello para empresas, el inicio de sesión con tarjeta inteligente, la autenticación de Escritorio remoto y la confianza del controlador de dominio. El parche de origen de 2022 (KB5014754, direccionamiento CVE-2022-26923, CVE-2022-26931, el CVE-2022-34691) introdujo Fuerte Mapeo de certificados; el seguimiento de 2025 (KB5057784, para CVE-2025-26647) agregó la aplicación de NTAuth-store, y ambos han alcanzado ahora la aplicación completa sin ningún desvío de registro restante. Martes de parches tras martes de parches, las reglas del juego han cambiado: nuevos modos de aplicación, eliminación de escotillas de escape del registro, actualizaciones de emergencia fuera de banda que llegan a los pocos días de un lanzamiento regular. Manteniendo su PKI Estar sano hoy en día significa estar al día con mucho más que solo las vulnerabilidades de seguridad (CVE).
Esta guía proporciona una referencia consolidada para las actualizaciones de Microsoft que afectan la infraestructura de certificados en Windows Server 2025, Windows Server 2022 y Windows Server 2019. Ayuda a los administradores a rastrear qué cambió, cuándo cambió y por qué es importante para los entornos PKI empresariales con PKI/ADCSCambios que afectan a los certificados. También se incluyen correcciones que no afectan a la infraestructura de clave pública (PKI) para que los administradores tengan una visión completa de la actualización.
Comprender las correcciones urgentes
Si administras infraestructura de Windows Server, seguramente te habrás encontrado con el término "hotfix" en algún artículo de soporte de Microsoft. Pero, ¿qué significa realmente y por qué los administradores de PKI deberían prestarles más atención que la mayoría?
Una corrección urgente es un parche de software específico que Microsoft publica para solucionar un error, una regresión o una vulnerabilidad de seguridad concreta, a menudo fuera del ciclo habitual de actualizaciones mensuales de seguridad (Patch Tuesday). Piénsalo como una reparación de emergencia para solucionar un problema puntual, en lugar de una renovación completa del edificio.
El término «hotfix» se originó en la época en que los parches se aplicaban literalmente a un sistema en funcionamiento, «en caliente», como un motor en marcha, sin apagarlo ni reinstalarlo por completo. Hoy en día, Microsoft utiliza varios términos relacionados que conviene distinguir:
| Término | Lo que significa |
|---|---|
| de revisiones | Una solución específica para un único problema, que a menudo se publica con urgencia fuera de los ciclos normales. |
| Actualización acumulativa (CU) | Paquete mensual publicado el martes de actualizaciones que incluye todas las correcciones anteriores junto con las nuevas. Dado que cada CU es independiente, basta con instalar la última CU para actualizar completamente el sistema, sin necesidad de instalar primero las actualizaciones anteriores. |
| Fuera de banda (OOB) | Se trata de una actualización de emergencia que NO espera al Patch Tuesday. Microsoft las implementa cuando una regresión o vulnerabilidad es demasiado grave como para esperar al siguiente ciclo regular. |
| actualización de seguridad | Una solución que aborda específicamente una vulnerabilidad y exposición común (CVE). Puede distribuirse como parte de una actualización acumulativa o como un parche independiente. |
| Hotpatch | Mecanismo de actualización en tiempo real para Windows Server Datacenter: Azure Edition que aplica correcciones de seguridad directamente en la memoria sin necesidad de reiniciar. Disponible en servidores alojados en Azure o conectados mediante Azure Arc. No aplicable a instalaciones locales de Windows Server. |
El ciclo de vida de una revisión de Windows Server
Comprender cuándo y cómo Microsoft lanza parches le ayuda a anticiparse a los cambios en su entorno en lugar de reaccionar ante ellos. El ciclo de vida típico es el siguiente:
- Se descubre una vulnerabilidad o regresión, ya sea internamente por el Centro de Respuesta de Seguridad de Microsoft o externamente por un investigador de seguridad o un cliente empresarial.
- Los ingenieros de Microsoft desarrollan y prueban una solución. Esto puede llevar días en el caso de una regresión crítica o semanas o meses en el caso de una mejora de seguridad planificada.
- El segundo martes de cada mes (Patch Tuesday) es el período habitual de lanzamiento de actualizaciones. Las correcciones de seguridad y las mejoras de calidad planificadas se agrupan aquí como actualizaciones acumulativas.
- Lanzamiento fuera de banda (OOB): cuando una solución no puede esperar un mes completo (por ejemplo, cuando los controladores de dominio fallan al reiniciarse), Microsoft lanza una actualización OOB, a veces dentro de las 72 horas posteriores a un lanzamiento de Patch Tuesday.
- Lanzamiento de parches en caliente (solo para la edición de Azure): ciertas correcciones se adaptan al formato de parche en caliente para que los servidores alojados en Azure puedan recibirlas sin tiempo de inactividad.
Por qué los administradores de PKI deben realizar un seguimiento diferente de las correcciones urgentes
La mayoría de los equipos de TI consideran la gestión de parches como un ejercicio de reducción de riesgos: aplican actualizaciones, comprueban si hay regresiones y listo. En entornos PKI y Active Directory, este modelo deja de ser efectivo porque el proceso de endurecimiento de certificados de Microsoft ha convertido las actualizaciones acumulativas en un vector para cambios en la aplicación de la autenticación, y no solo en correcciones de errores.
Dos vías de control que discurren en paralelo
Seguimiento de 1: KB5014754 (Mapeo de certificados reforzados): controla la clave de registro StrongCertificateBindingEnforcement. La aplicación completa se convirtió en la opción predeterminada en febrero de 2025; la omisión del registro se eliminó con la actualización del 9 de septiembre de 2025.
Seguimiento de 2: KB5057784 / CVE-2025-26647 (Aplicación de la política de NTAuth Store): Controla la clave de registro AllowNtAuthPolicyBypass. El modo de auditoría comenzó en abril de 2025; la aplicación por defecto comenzó en julio de 2025; la omisión de la política de registro se eliminó con la actualización del 14 de octubre de 2025.
Completar la Vía 1 no satisface la Vía 2. Ambas deben abordarse de forma independiente.
He aquí la diferencia fundamental que hace que la aplicación de parches a la infraestructura de clave pública (PKI) sea excepcionalmente compleja:
- Una actualización típica de un servidor puede modificar el comportamiento de un servicio bajo ciertas condiciones. Una actualización relacionada con la infraestructura de clave pública (PKI) puede cambiar silenciosamente la capacidad de autenticación de todos los dispositivos de su organización conectados al dominio.
- Una reversión típica deshace un parche. Revertir una actualización que activó el modo de cumplimiento total podría no restaurar el entorno de autenticación si las plantillas de certificados ya se han vuelto a emitir o las asignaciones se han modificado.
- Un parche típico es reversible mediante la configuración del registro. El valor de registro StrongCertificateBindingEnforcement (KB5014754) se eliminó con la actualización del 9 de septiembre de 2025; el valor de registro AllowNtAuthPolicyBypass (KB5057784 / CVE-2025-26647) se eliminó con la actualización del 14 de octubre de 2025. A partir de octubre de 2025, no queda ninguna vulnerabilidad de omisión del registro para ninguna de las dos vías de aplicación.
Con este contexto, aquí está la referencia completa de revisiones de PKI que cubre todas las actualizaciones que afectan a los certificados desde la actualización KB5014754 de mayo de 2022 (aplicable a Server 2019 y Server 2022) hasta junio de 2026. La cobertura para Windows Server 2025 comienza en su fecha de disponibilidad general, el 1 de noviembre de 2024.
Windows Server 2025
Windows Server 2025 alcanzó la disponibilidad general el 1 de noviembre de 2024. Esta tabla incluye 18 revisiones para Windows Server 2025 hasta junio de 2026, incluidas actualizaciones acumulativas relacionadas con PKI y tres versiones de emergencia fuera de banda.
| Artículo KB | Fecha de lanzamiento | Tipo de actualización | Descripción | CVE / Referencia |
|---|---|---|---|---|
| KB5044284 | 8 de octubre de 2024 | Actualización acumulativa | [Servicio de puerta de enlace de escritorio remoto] Solucionado: El servicio deja de responder cuando utiliza llamadas a procedimientos remotos (RPC) a través de HTTP, lo que provoca la desconexión de los clientes conectados. | CVE-2024-26248, CVE-2024-29056 |
| KB5050009 | Enero 14, 2025 | Actualización acumulativa | Lista de bloqueo de controladores vulnerables del kernel de Windows (DriverSiPolicy.p7b)] Se actualizó la lista de controladores vulnerables a ataques de tipo "Traiga su propio controlador vulnerable" (BYOVD). Incluye mejoras en la pila de servicios. | CVE-2022-26931, CVE-2022-26923 |
| KB5051987 | Febrero 11, 2025 | Actualización acumulativa (crítica) | [Convertidor digital/analógico (DAC)] Solucionado: Los dispositivos de audio USB (en particular, aquellos que utilizan controladores DAC basados en USB 1.0) podían dejar de funcionar, interrumpiendo la reproducción. [Cámaras USB] Solucionado: El dispositivo no reconocía que la cámara estaba encendida. Nota: Esta actualización introdujo un problema conocido que provocaba que las sesiones de Escritorio remoto se congelaran poco después de la conexión (resuelto en KB5055523). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053598 | Marzo 11, 2025 | Actualización acumulativa | [Inicio de sesión de Win] Solucionado: Se produce un error de detención durante el apagado. También se añade un nuevo atajo de teclado para el Narrador (tecla Narrador + Ctrl + X) para copiar el último contenido leído al portapapeles y se habilita la lectura automática del contenido de los correos electrónicos en el nuevo Outlook. | No disponible (Corrección de calidad) |
| KB5055523 | 8 de Abril, 2025 | Actualización acumulativa (crítica) | [Autenticación] Solucionado: Fallo en la rotación de contraseñas de máquina en la ruta PKINIT al usar Kerberos con Credential Guard habilitado, lo que provocaba problemas de autenticación de usuarios. Las cuentas de máquina en Credential Guard están temporalmente deshabilitadas a la espera de una solución definitiva. [Escritorio remoto] Solucionado: Las sesiones se congelaban poco después de conectarse, lo que provocaba que el ratón y el teclado dejaran de responder. [Autenticación Kerberos] Modificado: Se añaden protecciones para CVE-2025-26647: Fase 1: Solo modo auditoría. AllowNtAuthPolicyBypass se establece por defecto en 1; se registra el ID de evento 45 para certificados que no son NTAuth, pero la autenticación NO se deniega. La aplicación por defecto comienza con la actualización del 8 de julio de 2025. Es posible que se registre el ID de evento 45 en los controladores de dominio. [Seguridad del sistema operativo] Nuevo: Crea una carpeta %systemdrive%\inetpub en todos los dispositivos, independientemente del estado de instalación de IIS; es necesaria para la protección contra CVE-2025-21204, no la elimine. [Windows Hello] Modificado: El reconocimiento facial ahora requiere cámaras a color para detectar un rostro visible, lo que mejora la seguridad (CVE-2025-26644). | CVE-2025-26647 |
| KB5059087 | 16 de Abril, 2025 | Fuera de banda (OOB) | Corrige un problema por el cual los contenedores de Windows que se ejecutan en modo de aislamiento Hyper-V podrían no iniciarse después del 8 de abril de 2025., Lanzamiento de la imagen del contenedor. Una discrepancia de versiones entre el contenedor y la máquina virtual de la utilidad de alojamiento provocó fallos de compatibilidad; ahora los contenedores pueden acceder correctamente a los archivos del sistema necesarios desde el host. | CVE-2025-26647 |
| KB5060842 | 10 de junio de 2025 | Actualización acumulativa | Novedad: El modo de escaneo ahora admite la coma (,) para ir al inicio de un elemento (tabla, lista, etc.) y el punto (.) para ir al final, lo que mejora la navegación en correos electrónicos y artículos extensos. Mejoras generales de seguridad y calidad. | CVE-2025-26647 |
| KB5062553 | 8 de julio de 2025 | Actualización acumulativa | [Instalación de la aplicación] Solucionado: La API MsiCloseHandle experimentaba un tiempo de ejecución prolongado al procesar archivos MSI que contenían un gran número de archivos. [Cerbero] Solucionado: La autenticación Kerberos deja de responder en ciertos escenarios cuando se utiliza RC4 para el cifrado. | CVE-2025-26647 |
| KB5065426 | 9 de septiembre de 2025 | Actualización acumulativa (crítica) | [Red] Solucionado: Windows Server 2025 siempre mostraba la red como "pública" en los nuevos controladores de dominio; ahora comprueba el nombre del controlador de dominio antes de usar direcciones de bucle invertido para la vinculación LDAP. [Imprimir] Solucionado: Los usuarios sin privilegios de administrador no podían desinstalar las impresoras que habían añadido. Nota: Los componentes de impresión se han migrado a la biblioteca de tiempo de ejecución universal de C; los clientes de impresión anteriores a Windows 10 v2004 no podrán imprimir en servidores actualizados. | CVE-2022-26931, CVE-2022-26923 |
| KB5066835 | 14 de octubre de 2025 | Actualización acumulativa (crítica) | [Navegador] Solucionado: La pantalla de vista previa de impresión dejó de responder en los navegadores basados en Chromium. [PowerShell Remoting / WinRM] Solucionado: Los comandos podían caducar después de 10 minutos. [Juego de azar] Solucionado: Tras iniciar sesión mediante Gamepad en la pantalla de bloqueo, las aplicaciones y los juegos no respondían a las pulsaciones. | CVE-2025-26647 |
| KB5068861 | 11 de noviembre. | Actualización acumulativa | [Almacenamiento] Solucionado: Se ha corregido un problema que podía provocar que algunos Espacios de almacenamiento se volvieran inaccesibles o que la función Espacios de almacenamiento directo fallara al crear un clúster de almacenamiento. [Menú de inicio] Novedad: La opción booleana en la política Configurar marcadores de inicio permite a los administradores aplicar marcadores al menú Inicio una sola vez, lo que permite a los usuarios personalizarlos posteriormente. [Criptografía postcuántica] Se han introducido nuevas funciones. | No disponible (Corrección de calidad) |
| KB5072033 | 9 de diciembre de 2025 | Actualización acumulativa | [Explorador de archivos] Novedad: Ahora, los separadores dividen los iconos de nivel superior en el menú contextual. [General] Novedad: Aparece un aviso del sistema rediseñado cuando las aplicaciones solicitan acceso a la ubicación, la cámara, el micrófono u otras funciones. [Buscar en la barra de tareas] Novedad: La vista de cuadrícula ayuda a los usuarios a identificar más rápidamente las imágenes en los resultados de búsqueda. | No disponible (Corrección de calidad) |
| KB5073379 | Enero 13, 2026 | Actualización acumulativa | [Compatibilidad] Elimina los controladores de módem antiguos (agrsm64.sys, agrsm.sys, smserl64.sys, smserial.sys), ya que el hardware que depende de ellos dejará de funcionar. [Autocompletar credenciales] Nuevas medidas de seguridad reforzadas: los cuadros de diálogo de credenciales ya no responden a la entrada de teclado virtual desde herramientas de escritorio remoto o de uso compartido de pantalla. Esta es también la primera versión en la que Windows Server 2025 recibió sus propios identificadores KB y números de compilación independientes. | No disponible (Corrección de calidad) |
| KB5077793 | Enero 17, 2026 | Fuera de banda (OOB) | [Escritorio remoto] Solucionado: Tras instalar la actualización de seguridad de enero de 2026 (KB5073379), se producían fallos en la solicitud de credenciales durante las conexiones de Escritorio remoto mediante la aplicación de Windows, lo que afectaba a Azure Virtual Desktop y Windows 365. | No disponible (Corrección de calidad) |
| KB5075899 | Febrero 10, 2026 | Actualización acumulativa | Actualización de seguridad acumulativa con las últimas correcciones y mejoras, que incorpora actualizaciones no relacionadas con la seguridad de la versión preliminar opcional anterior. Incluye actualizaciones de componentes de IA (aplicable solo a PC con Copilot+; no se instala en Windows Server estándar). Avanza en la fase de aplicación de la protección contra la omisión del arranque seguro KB5025885, avanzando hacia la revocación obligatoria del certificado "Windows Production PCA 2011". | Fase de aplicación de la norma KB5025885 |
| KB5078740 | Marzo 10, 2026 | Actualización acumulativa | Actualización de seguridad con mejoras de calidad de KB5075899. Destaca un aviso importante sobre la caducidad de los certificados de arranque seguro: los certificados utilizados por la mayoría de los dispositivos Windows caducarán a partir de junio de 2026, lo que podría afectar al arranque seguro en dispositivos sin parchear. Continúa la fase de aplicación de KB5025885. | Fase de aplicación de la norma KB5025885 |
| KB5082063 | 14 de Abril, 2026 | Actualización acumulativa | Actualización de seguridad acumulativa con las últimas correcciones y mejoras. Se detectó un problema conocido: algunos dispositivos podrían no instalar esta actualización y mostrar el error 0x80073712. Además, los controladores de dominio en bosques multidominio que utilizan Administración de acceso privilegiado (PAM) podrían experimentar fallos en LSASS tras el reinicio. Ambos problemas se resuelven en la actualización KB5091157. | No aplica (Regresión) |
| KB5091157 | 19 de Abril, 2026 | Fuera de banda (OOB) | [Directorio activo] Solucionado: Tras instalar la actualización de seguridad de abril de 2026, los controladores de dominio en bosques multidominio que utilizan la administración de acceso privilegiado (PAM) podían experimentar una interrupción en la respuesta de LSASS, lo que provocaba reinicios repetidos y hacía que el dominio no estuviera disponible. [Instalación de actualización de Windows] Solucionado: Un pequeño número de dispositivos Windows Server 2025 no lograban instalar la actualización KB5082063. | No disponible (Solución de emergencia) |
Nota: Windows Server 2025 comparte la compilación del sistema operativo 26100.x con Windows 11 24H2. Todas las actualizaciones de seguridad (KB) mencionadas anteriormente se aplican a ambos productos.
Windows Server 2022
Windows Server 2022 alcanzó la disponibilidad general el 18 de agosto de 2021. La siguiente tabla incluye las actualizaciones que afectan a PKI/ADCS/certificados, desde la actualización original KB5014754 (mayo de 2022) hasta junio de 2026. Esto incluye 19 revisiones.
| Artículo KB | Fecha de lanzamiento | Tipo de actualización | Descripción | CVE/Referencia |
|---|---|---|---|---|
| KB5014754 | 10 de mayo de 2022 | Actualización de seguridad (Base de conocimientos de Origin) | [Kerberos KDC] Corregido: El KDC no validaba el formato del nombre de la máquina durante la autenticación basada en certificados, lo que permitía la falsificación de certificados. Los conflictos entre los nombres principales de usuario (UPN) y sAMAccountName introdujeron vectores de emulación adicionales. Aborda las vulnerabilidades CVE-2022-26931, CVE-2022-26923 y CVE-2022-34691 (elevación de privilegios mediante suplantación de certificados Kerberos). Enterprise CA Ahora se incorpora una extensión SID (OID 1.3.6.1.4.1.311.25.2) en los certificados emitidos; los controladores de dominio inician en modo de compatibilidad registrando asignaciones débiles a través de los ID de evento 39, 40 y 41. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044281 | 8 de octubre de 2024 | Actualización acumulativa | [Aplicaciones MSIX] Solucionado: No se podía abrir al instalarlo desde una URI HTTPS si la descarga estaba incompleta. [Administrador de tareas] Solucionado: Deja de responder al seleccionar la pestaña Rendimiento. [AppLocker] Corregido: El modo de aplicación de la colección de reglas no se sobrescribía al fusionar reglas con una colección no configurada. [Escritorio remoto] Solucionado: Los servidores Windows podían interrumpir las conexiones de Escritorio remoto en toda la organización. | CVE-2024-26248, CVE-2024-29056 |
| KB5049983 | Enero 14, 2025 | Actualización acumulativa | [Lista de bloqueo de controladores vulnerables del kernel de Windows] Actualizado: Se añaden controladores vulnerables a ataques de "Traiga su propio controlador vulnerable" (BYOVD). Se solucionan problemas de seguridad del sistema operativo Windows. | CVE-2022-26931, CVE-2022-26923 |
| KB5051979 | Febrero 11, 2025 | Actualización acumulativa (crítica) | Realiza diversas mejoras de seguridad en la funcionalidad interna del sistema operativo. Problema conocido: Es posible que los dispositivos con Citrix Session Recording Agent (SRA) versión 2411 no puedan completar la instalación (resuelto en KB5053603). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053603 | Marzo 11, 2025 | Actualización acumulativa | Realiza diversas mejoras de seguridad en la funcionalidad interna del sistema operativo. No se han documentado problemas de calidad adicionales para esta versión. | No disponible (Corrección de calidad) |
| KB5055526 | 8 de Abril, 2025 | Actualización acumulativa (crítica) | [Autenticación] Solucionado: Fallo en la rotación de contraseñas de la máquina en la ruta PKINIT cuando se utiliza Kerberos con Credential Guard habilitado. Problema conocido introducido: Los controladores de dominio pueden registrar los ID de evento de Kerberos 45 y 21 para entornos de confianza de clave WHfB (resuelto en KB5060526). | CVE-2025-26647 |
| KB5059092 | 16 de Abril, 2025 | Fuera de banda (OOB) | Soluciona un fallo de inicio en contenedores Windows que se ejecutan en modo de aislamiento Hyper-V cuando el nivel de parche del contenedor difiere del de la máquina virtual de la utilidad de alojamiento. No afecta directamente a la infraestructura de clave pública (PKI). La falsa alarma del evento 45/21 de WHfB Key Trust se resolvió en la actualización KB5060526. | CVE-2025-26647 |
| KB5060526 | 10 de junio de 2025 | Actualización acumulativa | [Servidor DHCP] Solucionado: El servicio de servidor DHCP podía dejar de responder intermitentemente, lo que afectaba a la renovación de direcciones IP para los clientes. [Idioma] Solucionado: Problema de compatibilidad de caracteres chinos con GB18030. Resuelve la regresión de ID de evento 45/21 de WHfB Key Trust / Machine PKINIT falso de la base de conocimientos KB5055526. | CVE-2025-26647 |
| KB5062572 | 8 de julio de 2025 | Actualización acumulativa | [Servidor DHCP] Solucionado: Problema intermitente de falta de respuesta del servidor DHCP. [Idioma] Corregido: Cumplimiento de los caracteres chinos con la norma GB18030-2022. [Actuación] Solucionado: Los paquetes de idiomas no utilizados y los paquetes de funciones bajo demanda no se eliminaban por completo. Problema conocido introducido: Problemas con el IME de Changjie para chino tradicional (resueltos en KB5063880). | CVE-2025-26647 |
| KB5065432 | 9 de septiembre de 2025 | Actualización acumulativa (crítica) | [Compatibilidad de la aplicación] Solucionado: Mensajes inesperados de UAC para usuarios estándar que ejecutan operaciones de reparación de MSI (introducidos en la actualización de agosto de 2025 para CVE-2025-50173). Afecta a Autodesk AutoCAD y aplicaciones similares. [SMB/NetBIOS] Problema conocido: Tras instalar la actualización KB5065432, las conexiones a recursos compartidos SMBv1 mediante NetBIOS sobre TCP/IP (NetBT) podían fallar. Microsoft solucionó este problema en la actualización KB5066782. | CVE-2022-26931, CVE-2022-26923 |
| KB5066782 | 14 de octubre de 2025 | Actualización acumulativa (crítica) | [IME chino] Solucionado: Problemas de visualización de caracteres y de conformidad con la norma GB18030. [Redes] Solucionado: Fallo en la conexión de archivos compartidos SMB v1 sobre NetBT introducido por KB5065432. Problema conocido introducido: Problemas de autenticación con tarjetas inteligentes relacionados con un cambio de seguridad en los Servicios criptográficos de Windows (resueltos el 22 de octubre de 2025). | CVE-2025-26647 |
| KB5068787 | 11 de noviembre. | Actualización acumulativa | [Compatibilidad de la aplicación] Solucionado: Se solucionó el problema de las solicitudes inesperadas de Control de cuentas de usuario (UAC) para algunas aplicaciones, incluido Autodesk AutoCAD (introducidas por la actualización de seguridad de agosto de 2025). [Seguridad] Solucionado: Tras la promoción del controlador de dominio, los cambios en los permisos del registro de Microsoft Defender para Endpoint interrumpían la comunicación basada en la nube. | No disponible (Corrección de calidad) |
| KB5073457 | Enero 13, 2026 | Actualización acumulativa | [Aplicación de Windows / Escritorio remoto] Problema conocido: Fallos en la solicitud de credenciales durante las conexiones de Escritorio remoto mediante la aplicación de Windows en Azure Virtual Desktop y Windows 365 (resuelto por KB5077800). | No disponible (Corrección de calidad) |
| KB5077800 | Enero 17, 2026 | Fuera de banda (OOB) | [Aplicación de Windows / Escritorio remoto] Solucionado: Resuelve los errores de solicitud de credenciales introducidos por KB5073457 durante las conexiones de Escritorio remoto mediante la aplicación de Windows en Azure Virtual Desktop y Windows 365. (Esta actualización acumulativa reemplaza a KB5073457). | No disponible (Corrección de calidad) |
| KB5075906 | Febrero 10, 2026 | Actualización acumulativa | [Explorador de archivos] Solucionado: El cambio de nombre de carpetas con archivos desktop.ini no funcionaba correctamente; se estaba ignorando la configuración LocalizedResourceName. [Fuentes] Actualizado: Las fuentes chinas ahora son compatibles con el estándar GB18030-2022A. [Gráficos] Solucionado: Ciertas configuraciones de GPU experimentan el error dxgmms2.sys KERNEL_SECURITY_CHECK_FAILURE. | Fase de aplicación de la norma KB5025885 |
| KB5078766 | Marzo 10, 2026 | Actualización acumulativa | [Arranque seguro] Novedad: Los datos adicionales de segmentación de dispositivos de alta confianza aumentan la cobertura de los dispositivos que pueden recibir automáticamente nuevos certificados de CA de arranque seguro. [Administrador de imágenes del sistema Windows] Mejoras: Mayor fiabilidad en la selección de archivos de catálogo de confianza. | Fase de aplicación de la norma KB5025885 |
| KB5082142 | 14 de Abril, 2026 | Actualización acumulativa | [Protocolo Kerberos] Modificado: El valor predeterminado de DefaultDomainSupportedEncTypes para las operaciones de KDC ahora utiliza AES-SHA1 para las cuentas sin un atributo AD msds-SupportedEncryptionTypes explícito. [Audio] Mejorado: Reduce la falta de respuesta del sistema relacionada con la actividad de audio. [Núcleo] Mejoras: Estabilidad del sistema durante operaciones con archivos grandes. Problema conocido introducido: Fallos al iniciar LSASS en controladores de dominio en entornos PAM multidominio (resueltos por KB5091575). | No aplica (Regresión) |
| KB5091575 | 19 de Abril, 2026 | Fuera de banda (OOB) | [Directorio activo] Solucionado: Tras instalar la actualización de seguridad de abril de 2026, los controladores de dominio (DC) en bosques multidominio que utilizan la administración de acceso privilegiado (PAM) pueden experimentar fallos al iniciar LSASS, lo que impide el funcionamiento de los servicios de autenticación y de directorio. | No disponible (Solución de emergencia) |
Windows Server 2019
Windows Server 2019 alcanzó la disponibilidad general el 2 de octubre de 2018. El soporte principal finalizó el 9 de enero de 2024; el soporte extendido continúa hasta el 9 de enero de 2029. La siguiente tabla abarca las actualizaciones que afectan a PKI/ADCS/certificados desde la actualización original KB5014754 (mayo de 2022) hasta junio de 2026. Esto incluye 19 revisiones (incluida la actualización original KB5014754).
| Artículo KB | Fecha de lanzamiento | Tipo de actualización | Descripción | CVE / Referencia |
|---|---|---|---|---|
| KB5014754 | 10 de mayo de 2022 | Actualización de seguridad (Base de conocimientos de Origin) | [AD CS / KDC] Las CA empresariales comienzan a incorporar una nueva extensión SID (OID 1.3.6.1.4.1.311.25.2) en todos los certificados emitidos. Los DC se inician en modo de compatibilidad: se permite la autenticación de certificados con asignación débil, pero se registran los ID de evento 39/40/41. Se solucionan las vulnerabilidades CVE-2022-26931 y CVE-2022-26923 (escalada de privilegios de certificados Kerberos). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044277 | 8 de octubre de 2024 | Actualización acumulativa | [Retraso en el cierre del fotograma] Solucionado: El navegador ignora su valor en la clave de registro HKLM de Internet Explorer. [Escritorio remoto (problema conocido)] Solucionado: Los servidores Windows podían interrumpir las conexiones de Escritorio remoto que utilizaban protocolos heredados como RPC sobre HTTP en la puerta de enlace de Escritorio remoto (esto ocurría esporádicamente, aproximadamente cada 30 minutos). | CVE-2024-26248, CVE-2024-29056 |
| KB5050008 | Enero 14, 2025 | Actualización acumulativa | [Lista de bloqueo de controladores vulnerables del kernel de Windows] Actualizado: Se añaden controladores vulnerables a ataques de "Traiga su propio controlador vulnerable" (BYOVD). Se solucionan problemas de seguridad del sistema operativo Windows. | CVE-2022-26931, CVE-2022-26923 |
| KB5052000 | Febrero 11, 2025 | Actualización acumulativa (crítica) | [Lista de bloqueo de controladores vulnerables del kernel de Windows] Actualizado: Se añaden los conductores en riesgo de sufrir ataques BYOD. [Autenticación basada en certificados] Modo de aplicación total activado: los controladores de dominio ahora deniegan la autenticación si un certificado no se puede asignar de forma segura a un usuario o dispositivo. El modo de compatibilidad se puede restaurar mediante StrongCertificateBindingEnforcement=1 SOLO HASTA el 9 de septiembre de 2025 (fecha de actualización). Después de esa fecha, el valor del registro no tendrá ningún efecto. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053596 | Marzo 11, 2025 | Actualización acumulativa | [Sistema] Permite que los procesos del sistema almacenen archivos temporales en un directorio seguro. Realiza diversas mejoras de seguridad en la funcionalidad interna del sistema operativo. No se han documentado problemas de calidad adicionales para esta versión. | No disponible (Corrección de calidad) |
| KB5055519 | 8 de Abril, 2025 | Actualización acumulativa (crítica) | [Autenticación] Solucionado: Fallo en la rotación de contraseñas de la máquina en la ruta PKINIT cuando se utiliza Kerberos con Credential Guard habilitado. Problema conocido introducido: Los controladores de dominio pueden registrar los ID de evento de Kerberos 45 y 21 en los entornos de confianza de clave WHfB y PKINIT de máquina después de que esta actualización cambie la forma en que los controladores de dominio validan los certificados contra el almacén NTAuth (resuelto en KB5060531). | CVE-2025-26647 |
| KB5059091 | 16 de Abril, 2025 | Fuera de banda (OOB) | Soluciona un fallo de inicio en contenedores Windows que se ejecutan en modo de aislamiento Hyper-V cuando el nivel de parche del contenedor difiere del de la máquina virtual de la utilidad de alojamiento. No afecta directamente a la infraestructura de clave pública (PKI). Falsa alarma de WHfB Key Trust / Evento 45/21 (resuelta en KB5060531). | CVE-2025-26647 |
| KB5060531 | 10 de junio de 2025 | Actualización acumulativa | [Autenticación / WHfB] Corregido: Resuelve la regresión de registro de eventos con ID 45/21 de WHfB Key Trust y Machine PKINIT introducida por KB5055519. Los controladores de dominio ahora manejan correctamente los certificados encadenados al almacén NTAuth sin generar falsas alarmas en las configuraciones de Key Trust. | CVE-2025-26647 |
| KB5062557 | 8 de julio de 2025 | Actualización acumulativa | Solucionado: La autenticación deja de responder en determinados escenarios de cifrado RC4. [Inicio de sesión con credenciales almacenadas en caché de FIDO] Solucionado: Deja de responder en ciertos casos en dispositivos unidos a un dominio híbrido. Mejoras generales de seguridad para el sistema operativo. | CVE-2025-26647 |
| KB5065428 | 9 de septiembre de 2025 | Actualización acumulativa (crítica) | [Elaboración del certificado — Fase final] El valor de registro StrongCertificateBindingEnforcement ya no es reconocido por el KDC. El valor puede permanecer en el disco, pero no tiene ningún efecto (el modo de compatibilidad no se puede volver a habilitar mediante ninguna configuración del registro). [UAC/MSI] Solucionado: Mensajes inesperados de UAC para usuarios estándar que ejecutan operaciones de reparación de MSI (reduce el alcance del endurecimiento de CVE-2025-50173 de agosto de 2025). [Servidor de archivos] Novedad: Soporte de auditoría para la compatibilidad del cliente SMB con la firma del servidor SMB y EPA. | CVE-2022-26931, CVE-2022-26923 |
| KB5066586 | 14 de octubre de 2025 | Actualización acumulativa (crítica) | [NTAuth / Permitir omisión de la política de NtAuth] Aplicación total: El valor del registro AllowNtAuthPolicyBypass ya no se respeta; la aplicación del almacén NTAuth es ahora obligatoria. Todos los certificados de autenticación Kerberos deben ser emitidos por una CA del almacén NTAuth, sin excepciones al registro. Mejoras generales de seguridad. | CVE-2025-26647 |
| KB5068791 | 11 de noviembre. | Actualización acumulativa | [Sistema operativo Windows interno] Contiene diversas mejoras de seguridad en la funcionalidad interna del sistema operativo. Nota: Esta actualización se distribuye bajo el programa de Soporte Extendido (el Soporte Principal finalizó el 9 de enero de 2024). Las actualizaciones de seguridad extendidas continuarán hasta el 9 de enero de 2029. | No disponible (Corrección de calidad) |
| KB5073723 | Enero 13, 2026 | Actualización acumulativa | [Autocompletar credenciales] Las medidas de seguridad reforzadas impiden que ciertas aplicaciones rellenen automáticamente las credenciales durante las sesiones de soporte remoto o los flujos de trabajo de autenticación automatizados. [Compatibilidad] Elimina los controladores de módem antiguos (agrsm64.sys, smserl64.sys, etc.). Problema conocido introducido (1): Errores en la solicitud de credenciales durante las conexiones de Escritorio remoto mediante la aplicación de Windows en Azure Virtual Desktop y Windows 365 (resuelto por KB5077795). Problema conocido introducido (2): Los dispositivos con Secure Launch/VSM habilitado se reinician en lugar de apagarse o hibernar (problema resuelto por la actualización KB5075904). | No disponible (Corrección de calidad) |
| KB5077795 | Enero 17, 2026 | Fuera de banda (OOB) | [Aplicación de Windows / Escritorio remoto] Solucionado: Resuelve los errores de solicitud de credenciales introducidos por KB5073723 durante las conexiones de Escritorio remoto mediante la aplicación de Windows en Azure Virtual Desktop y Windows 365. Esta corrección es acumulativa solo para el problema de RDP. El error de reinicio de Secure Launch/VSM requiere KB5075904. | No disponible (Corrección de calidad) |
| KB5075904 | Febrero 10, 2026 | Actualización acumulativa | Seguridad del sistema operativo (problema conocido) Solucionado: Los PC compatibles con Secure Launch y con el Modo Seguro Virtual (VSM) habilitado no podían apagarse ni entrar en hibernación después de las actualizaciones de enero de 2026; en su lugar, el dispositivo se reiniciaba. [Fuentes] Actualizado: Las fuentes chinas cumplen con la norma GB18030-2022A. [Arranque seguro] Novedad: Comienza la distribución de nuevos certificados de CA de arranque seguro a los dispositivos Server 2019 que cumplan los requisitos, con datos de segmentación de dispositivos de alta confianza, antes de la expiración del certificado en junio de 2026. | Fase de aplicación de la norma KB5025885 |
| KB5078752 | Marzo 10, 2026 | Actualización acumulativa | [Arranque seguro] Actualizado: Los datos adicionales de segmentación de dispositivos de alta confianza aumentan la cobertura de los dispositivos que pueden recibir automáticamente nuevos certificados de CA de arranque seguro. El despliegue gradual se está ampliando en Server 2019. [Administrador de imágenes del sistema Windows] Mejoras: Se ha añadido un cuadro de diálogo de advertencia para ayudar a los usuarios a confirmar la procedencia de los archivos de catálogo. Otras mejoras de seguridad en la funcionalidad interna del sistema operativo. | Fase de aplicación de la norma KB5025885 |
| KB5082123 | 14 de Abril, 2026 | Actualización acumulativa | [Protocolo Kerberos] Modificado: El valor predeterminado de DefaultDomainSupportedEncTypes para las operaciones de KDC ahora utiliza AES-SHA1 para las cuentas sin un atributo AD msds-SupportedEncryptionTypes explícito. [Arranque seguro] Mejoras: Informes de estado dinámicos en la configuración de seguridad de Windows; correcciones para problemas de recuperación de BitLocker tras las actualizaciones de arranque seguro. [Escritorio remoto] Mejoras: Visualización del cuadro de diálogo de advertencia de seguridad de RDP. Problema conocido introducido: Fallos al iniciar LSASS en controladores de dominio en entornos PAM multidominio (resueltos por KB5091573). | No aplica (Regresión) |
| KB5091573 | 19 de Abril, 2026 | Fuera de banda (OOB) | [Directorio activo] Solucionado: Tras instalar la actualización de seguridad de abril de 2026 (KB5082123), los controladores de dominio en bosques multidominio que utilizan la administración de acceso privilegiado (PAM) pueden experimentar fallos al iniciar LSASS, lo que impide la autenticación y el acceso a los servicios de directorio. Además, prepara los dispositivos para la próxima caducidad del certificado de arranque seguro en junio de 2026. | No disponible (Solución de emergencia) |
Si esta guía ha puesto de manifiesto deficiencias en su infraestructura de clave pública (PKI) actual, Encryption Consulting ofrece servicios diseñados específicamente para solucionarlas.
¿Cómo puede ayudar la consultoría en cifrado?
Encryption Consulting ofrece servicios especializados para identificar vulnerabilidades y mitigar riesgos mediante soluciones PKI. Nuestro asesoramiento estratégico alinea las soluciones PKI con los objetivos organizacionales, mejorando la eficiencia y minimizando los costos. Al asociarse con Encryption Consulting, las organizaciones pueden aprovechar al máximo el potencial de las soluciones PKI, obteniendo beneficios financieros tangibles y manteniendo sólidas medidas de seguridad.
Nuestro Servicios de evaluación de PKI Ofrecemos una evaluación integral de su entorno ADCS actual, identificando deficiencias en la higiene de CA, las prácticas de respaldo, la configuración de CRL/AIA y el estado de la base de datos. Ya sea que su base de datos de CA haya crecido sin control con el tiempo o que sus procesos de mantenimiento carezcan de estructura, nuestro equipo le entregará un informe de riesgos detallado junto con una hoja de ruta priorizada para que su PKI vuelva a un estado óptimo y auditable.
Administrador de CertSecure
Si gestiona esto a gran escala en cientos de máquinas, la monitorización manual se vuelve insostenible. Una de las soluciones más completas en el ámbito de CLM es Administrador de CertSecure Por Encryption Consulting. Diseñado para abordar la creciente complejidad de los entornos de certificados, CertSecure Manager ofrece un enfoque centralizado, automatizado y basado en políticas para la gestión de certificados (CLM).
- Inventario centralizado de certificados: Descubre e inventaría automáticamente los certificados en entornos de nube, locales e híbridos.
- Gestión automatizada del ciclo de vida: Gestiona la emisión, renovación y revocación de certificados con una mínima intervención humana.
- Motor de aplicación de políticas: Garantiza el cumplimiento de las políticas de seguridad de la empresa y los estándares del sector.
- Control de acceso basado en roles (RBAC): Proporciona una gestión de acceso granular para garantizar que solo los usuarios autorizados puedan gestionar los certificados.
- Integración con las principales autoridades de certificación y herramientas DevOps: Se integra a la perfección con autoridades de certificación públicas y privadas, así como con pipelines de CI/CD.
- Monitorización y alertas en tiempo real: Ofrece paneles de control y alertas para certificados que caducan o están mal configurados.
- Auditoría e informes: Mantiene registros e informes detallados para el cumplimiento normativo y el análisis forense.
Conclusión
Para los administradores empresariales, la conclusión práctica es clara: la gestión de parches para la infraestructura PKI ya no puede considerarse una tarea rutinaria. Una sola actualización de Patch Tuesday puede activar una nueva fase de aplicación, eliminar una vulnerabilidad del registro o, como demostró abril de 2026, provocar que todos los controladores de dominio en un bosque multidominio fallen al reiniciarse.
Las cinco actualizaciones de emergencia OOB que Microsoft publicó el 19 de abril de 2026 (siete en total, incluyendo los parches urgentes de Azure Edition, en los cinco días posteriores al Patch Tuesday del 14 de abril de 2026) son un recordatorio de que incluso las actualizaciones bien probadas pueden producir fallos graves y específicos del entorno cuando intervienen sistemas de autenticación complejos.
El certificado PCA de producción de Windows 2011, utilizado por la mayoría de los dispositivos Windows para el arranque seguro, caducará a partir de junio de 2026. Microsoft ha estado eliminando gradualmente los nuevos certificados CA de arranque seguro mediante actualizaciones acumulativas desde febrero de 2026 (KB5075899, KB5078740, KB5075906, KB5078766, KB5075904, KB5078752) utilizando una segmentación de dispositivos de alta confianza. Los administradores deben:
- Confirme que todos los sistemas Server 2019, 2022 y 2025 hayan recibido las actualizaciones acumulativas de febrero o marzo de 2026.
- Verifique que se hayan distribuido los nuevos certificados de CA de arranque seguro.
- Compruebe que se haya probado la recuperación de BitLocker después de la actualización. Los dispositivos que no reciban los nuevos certificados antes de su vencimiento podrían fallar en el arranque seguro tras el siguiente reinicio.
La mejor defensa es mantenerse informado antes de que las actualizaciones lleguen a producción:
- Verifique que cada CA que emita certificados WHfB Key Trust o Machine PKINIT esté registrada en el almacén NTAuth. Ejecute: certutil -enterprise -store NTAuth para enumerar las CA NTAuth actuales. Desde la implementación de la normativa en octubre de 2025, los certificados de CA ajenas a NTAuth no admitirán la autenticación Kerberos en los controladores de dominio.
- Revise sus plantillas de certificados para detectar asignaciones débiles con suficiente antelación a los hitos de aplicación de la normativa.
- Cuando se publique una nueva actualización de seguridad (Patch Tuesday), compárela con esta guía antes de implementarla en los controladores de dominio.
- Realice una verificación de la postura previa a la aplicación antes de cada línea base trimestral importante, no después de que el despliegue ya haya comenzado.
- Comprender las correcciones urgentes
- El ciclo de vida de una revisión de Windows Server
- Por qué los administradores de PKI deben realizar un seguimiento diferente de las correcciones urgentes
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- ¿Cómo puede ayudar la consultoría en cifrado?
- Conclusión
