Desde Microsoft han hecho pública una vulnerabilidad importante que afecta a Microsoft Teams en Android. Ha sido identificada como CVE-2026-42835, calificada como de gravedad importante y fue publicada oficialmente el pasado 9 de junio. Este problema puede permitir a un atacante autenticado exponer información confidencial a través de una red. Algo que hace que este fallo sea más grave es que no es necesaria la interacción del usuario.
Vamos a explicarte cómo te afecta exactamente esta vulnerabilidad y qué debes hacer para tener tu dispositivo seguro. Es muy importante corregir fallos de este tipo, ya que los piratas informáticos pueden aprovechar vulnerabilidades para lanzar campañas y llegar a robar datos personales o tomar el control del dispositivo.
Fallo en Microsoft Teams para Android
Esta vulnerabilidad es de complejidad de ataque baja. Esto significa que un atacante no necesita grandes conocimientos avanzados para explotar el fallo si cuenta con una carga útil diseñada específicamente. El vector de ataque es de red (AV:N), lo que confirma que la vulnerabilidad puede explotarse de forma remota a través de internet.
Ha recibido una puntuación base CVSS 3.1 de 8.1 (puntuación temporal: 7.1), lo que demuestra un considerable riesgo.
Desde Microsoft han indicado que, en caso de que un ciberdelincuente explote este fallo, podría permitir que lea pequeñas porciones de la memoria dinámica. Aunque el alcance de los datos expuestos pueda parecer limitado, la memoria dinámica podría contener información confidencial en tiempo de ejecución, como pueden ser tokens de autenticación, datos de sesión o credenciales almacenadas en caché.
No obstante, Microsoft ha clasificado esta vulnerabilidad como de baja probabilidad de explotación. El fallo no se ha divulgado públicamente, más allá de los detalles superficiales que hemos mencionado, y no hay evidencia de que se haya explotado. Ahora bien, esto no significa que los atacantes no puedan explotarla, por lo que es clave actuar.
Podemos decir que para un usuario doméstico el riesgo es relativamente bajo, aunque no significa que sea inexistente. Es en organizaciones y empresas donde el riesgo sí aumenta, ya que podrían lanzar ataques de phishing más convincentes, suplantar documentos o archivos legítimos y hay mayor riesgo de que un empleado pueda confiar en ese contenido manipulado.
Comparativa de riesgo usuarios domésticos vs empresas
| Factor | Usuario particular | Empresa/Organización |
|---|---|---|
| Probabilidad de ataque | Baja: ataques masivos colaterales | Media/alta: dirigidos a cuentas críticas |
| Datos expuestos | Tokens de sesión, chats personales | Tokens corporativos, conversaciones de trabajo, datos de clientes |
| Consecuencias | Suplantación en contactos, acceso a cuenta personal | Phishing interno, escalada lateral a otros servicios, pérdida de datos regulados |
| Medidas adicionales (más allá de actualizar) | Activar MFA, revisar sesiones activas | Forzar actualización vía MDM, revisar logs de acceso, aplicar Conditional Access |
Cómo solucionar el problema
Microsoft ya ha lanzado una actualización para corregir este problema. Es tan sencillo como asegurarte de tener la última versión de Microsoft Teams instalada. Eso sí, debes hacerlo siempre desde fuentes oficiales. Puedes ir a Google Play y descargar de ahí la última actualización de Teams para Android. Evita hacerlo desde sitios de terceros, ya que podría ser una trampa.
Es importante que las organizaciones que utilicen Teams para comunicaciones internas comprueben cuanto antes que tienen la última versión instalada. Es un programa muy utilizado para gestionar conversaciones empresariales y compartir archivos. Medios especializados como Cyber Security News hacen hincapié en la importancia de corregir este fallo.
Para comprobar si estás protegido, solo tienes que seguir estos pasos:
- Abre la aplicación de Google Play Store.
- Busca Microsoft Teams.
- Comprueba si aparece el botón de Actualizar.
- Instala la actualización si es necesario.
Por otra parte, te recomendamos que mantengas Android actualizado y que no abras enlaces sospechosos, ni tampoco instales aplicaciones desde fuentes no oficiales. El sentido común es clave para protegerte de este tipo de amenazas, pero también de otras muchas que pueden comprometer tu seguridad en la red.
Preguntas frecuentes
¿Qué es exactamente la vulnerabilidad CVE-2026-42835?
Es un fallo de seguridad en Microsoft Teams para Android que permite a un atacante autenticado, sin necesidad de interacción del usuario, leer pequeñas porciones de la memoria dinámica de la aplicación. Así puede exponer información confidencial como tokens de autenticación, datos de sesión o credenciales almacenadas en caché.
¿Cómo de grave es? ¿Me afecta mucho como usuario particular?
Tiene una puntuación CVSS 3.1 de 8.1 (importante), con complejidad de ataque baja y vector de red, lo que significa que un atacante podría explotarlo remotamente sin grandes conocimientos. Para un usuario doméstico el riesgo es bajo, pero no inexistente. Para empresas y organizaciones que usan Teams para comunicaciones internas, el riesgo es mayor porque se pueden lanzar ataques de phishing más convincentes o robar datos corporativos.
¿Se sabe si esta vulnerabilidad ha sido explotada?
No, según Microsoft no hay evidencias de que se haya explotado y no se han divulgado detalles técnicos públicos más allá de los superficiales. La probabilidad de explotación está clasificada como baja, pero la compañía recomienda aplicar la actualización de seguridad igualmente para prevenir cualquier posible ataque futuro.
