La actualización del martes de parches de mayo de 2026 de Microsoft para Windows 10, KB5087544, refleja la realidad actual de la plataforma. Ahora que se encuentra firmemente en su fase de Actualizaciones de Seguridad Ampliadas, Windows 10 ya no evoluciona a través de características, pero sigue siendo protegido y mantenido activamente. Esta actualización combina un amplio conjunto de correcciones de vulnerabilidades con cambios específicos en Escritorio remoto y Arranque seguro que revelan cómo Microsoft está reforzando el control sobre la confianza y la estabilidad de los endpoints.

La actualización eleva los sistemas Windows 10 a las builds 19045.7291 y 19044.7291 y se distribuye a entornos ESU y LTSC. Se centra principalmente en mejoras de seguridad y calidad, alineándose con la estrategia de Microsoft de mantener el sistema operativo en lugar de ampliarlo.

Un gran martes de parches con una importante reducción de riesgos

KB5087544 forma parte de una versión más amplia del Martes de parches que aborda alrededor de 120 vulnerabilidades en todos los productos de Microsoft. Entre ellas se incluye un número significativo de fallos de ejecución remota de código y de escalada de privilegios, que siguen estando entre las categorías más peligrosas para los sistemas empresariales. Incluso sin vulnerabilidades de día cero divulgadas públicamente, la magnitud de las correcciones hace que esta actualización sea de alta prioridad. Muchos de los problemas parcheados afectan a componentes básicos como el núcleo de Windows, el cliente DNS y las aplicaciones de Office, que suelen ser blanco de ataques en el mundo real. Esto refuerza un patrón bien conocido: los atacantes suelen analizar las versiones de los martes de parches para desarrollar exploits poco después de que se publiquen los parches, lo que aumenta la urgencia de desplegarlos a tiempo.

La corrección de Escritorio remoto destaca la importancia de la seguridad UX

Una de las correcciones visibles de esta actualización aborda un problema con las advertencias de seguridad de Escritorio remoto. Tras una actualización anterior de abril, los cuadros de diálogo de advertencia podían mostrarse incorrectamente en entornos multimonitor con escalado de pantalla mixto.

A primera vista, parece un problema menor de usabilidad. En la práctica, toca un límite de seguridad crítico. Remote Desktop se utiliza ampliamente para la administración y el trabajo remoto, y sus cuadros de diálogo de advertencia forman parte del proceso de toma de decisiones al iniciar las conexiones. Si un aviso de seguridad está mal alineado, parcialmente oculto o es difícil interactuar con él, los usuarios pueden malinterpretarlo o ignorarlo por completo.

Solucionar este problema no cambia el protocolo ni añade nuevas protecciones, pero devuelve la claridad a un punto de interacción sensible. En entornos en los que RDP está expuesto o se utiliza mucho, incluso pequeñas incoherencias en las indicaciones de seguridad pueden aumentar el riesgo por errores humanos.

Los cambios en Secure Boot muestran un cambio hacia la confianza controlada

Los cambios más estratégicos de KB5087544 están relacionados con Secure Boot. Microsoft ha introducido informes de estado dinámicos en la aplicación Seguridad de Windows, lo que permite a los sistemas presentar información más clara e inmediata sobre el estado de Secure Boot.

Esto mejora la visibilidad tanto para usuarios como para administradores, especialmente en entornos gestionados donde las protecciones a nivel de firmware son críticas. En lugar de depender de herramientas independientes o comprobaciones indirectas, el estado de Secure Boot pasa a formar parte de la vista de seguridad estándar del sistema.

Y lo que es más importante, Microsoft ha ajustado la forma en que se despliegan los nuevos certificados de Secure Boot. La actualización introduce lo que describe como orientación de dispositivos de alta confianza, lo que significa que los certificados sólo se entregan a sistemas que demuestran un comportamiento de actualización estable y fiable. Esto crea un modelo de despliegue por fases que reduce la posibilidad de fallos generalizados durante las transiciones de certificados.

Esto es particularmente relevante dada la próxima expiración de los certificados Secure Boot más antiguos en 2026, lo que requiere una transición cuidadosa para mantener la integridad del arranque. En lugar de impulsar las actualizaciones de manera uniforme, Microsoft está aplicando un modelo basado en la confianza, en el que los dispositivos deben cumplir ciertos criterios antes de recibir cambios sensibles en la cadena de arranque.

El problema de recuperación de BitLocker expone la complejidad de la cadena de confianza

A pesar de estas mejoras, un problema conocido de la actualización pone de manifiesto la complejidad de los modernos controles de seguridad de Windows. Algunos sistemas pueden solicitar a los usuarios su clave de recuperación de BitLocker después de instalar actualizaciones recientes.

Este comportamiento sólo se produce en condiciones específicas que implican la directiva de grupo de BitLocker, la configuración de validación de TPM y la inclusión de PCR7 en el perfil de validación. Cuando las medidas de Secure Boot o del gestor de arranque cambian como parte de la actualización, BitLocker puede interpretarlo como un riesgo potencial para la seguridad y exigir la autenticación de recuperación.

Desde un punto de vista defensivo, este es el comportamiento esperado. BitLocker está diseñado para responder a los cambios en la cadena de arranque inicial. Sin embargo, en entornos empresariales, esto puede crear interrupciones operativas si los dispositivos requieren repentinamente claves de recuperación a las que los usuarios no tienen acceso inmediato.

El problema subraya un reto más amplio. A medida que Microsoft refuerza la integración entre Secure Boot, TPM y cifrado, el sistema se vuelve más seguro, pero también más sensible a los desajustes de configuración o a las desviaciones de las políticas.

Qué significa esto para los equipos de seguridad

KB5087544 ilustra el estado actual de la seguridad de Windows 10. El sistema operativo es estable, pero no es estático. Microsoft sigue perfeccionando cómo se establece y mantiene la confianza, especialmente a nivel de firmware y arranque.

La corrección del Escritorio Remoto demuestra que incluso los problemas de interfaz de usuario pueden tener implicaciones de seguridad cuando afectan a cómo se perciben las advertencias. Los cambios en Secure Boot demuestran un movimiento hacia un despliegue de actualizaciones más inteligente y controlado basado en señales de confianza del dispositivo. El problema de BitLocker pone de relieve los riesgos operativos que conllevan los controles de seguridad profundamente integrados.

Para las organizaciones que todavía ejecutan Windows 10 bajo ESU, esta actualización refuerza la necesidad de una gestión disciplinada de los parches, una revisión cuidadosa de las configuraciones de la directiva de grupo y la conciencia de cómo interactúan las diferentes capas de seguridad.

Puede que Windows 10 esté en su fase final, pero actualizaciones como KB5087544 dejan claro que mantener la seguridad ahora depende menos de las nuevas características y más de gestionar la complejidad de un modelo de confianza cada vez más interconectado.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactoparaaveriguar cómo puede proteger su organización.