Microsoft descubrió un fallo crítico de Windows en el lugar más inesperado: el Bloc de notas

El Bloc de notas, esa aplicación que durante décadas fue sinónimo de simplicidad, acaba de protagonizar una alerta de seguridad inesperada. El 10 de febrero de 2026, Microsoft confirmó que una actualización reciente introdujo una vulnerabilidad grave que permitía a atacantes aprovechar archivos Markdown para ejecutar código remoto en equipos con Windows.

La falla, identificada como CVE-2026-20841, fue corregida en el paquete de actualizaciones de febrero. Sin embargo, el incidente ha reavivado el debate sobre si añadir funciones avanzadas a aplicaciones básicas, como el Bloc de notas, puede abrir la puerta a riesgos innecesarios.

El Bloc de notas ahora es peligroso: Microsoft descubre vulnerabilidad grave que permitía ejecutar código malicioso en Windows

El problema surgió tras la incorporación de soporte para Markdown en el Bloc de notas de la Microsoft Store. Este lenguaje de marcado permite dar formato a un texto mediante caracteres especiales, pero investigadores descubrieron que podía convertirse en un vector de ataque: un archivo .md con enlaces maliciosos podía engañar al usuario para hacer clic y activar protocolos no verificados, lo que derivaba en la descarga y ejecución de contenido remoto en el equipo.

En la práctica, el ataque podía iniciarse con algo tan simple como un archivo de texto enviado por correo electrónico o compartido en línea. Una vez explotado, el atacante obtenía los mismos permisos que el usuario conectado, con acceso a archivos locales, recursos compartidos y credenciales.

Qué tan dañino es CVE-2026-20841 y cómo funciona

La vulnerabilidad recibió un puntaje de 8.8 en el Common Vulnerability Scoring System (CVSS), considerado de alto riesgo. El clic en un enlace incrustado dentro de un archivo Markdown era suficiente para que el Bloc de notas iniciara procesos no seguros y cargara código externo.

El componente afectado es la versión moderna del Bloc de notas distribuida por la Microsoft Store, no el clásico Notepad.exe. Esto implica que los equipos que no actualizan automáticamente las aplicaciones de la Store quedaban expuestos por más tiempo.

La solución de Microsoft para el bloc de notas

La compañía lanzó un parche el 10 de febrero de 2026, distribuyendo la corrección en la compilación 11.2510 y posteriores. Microsoft recomienda a los usuarios habilitar las actualizaciones automáticas y verificar que la aplicación esté en una versión corregida.

Además, aconseja evitar abrir archivos Markdown de origen desconocido y no hacer clic en enlaces dentro de documentos inesperados. En entornos corporativos, se sugiere reforzar la detección con herramientas de seguridad que identifiquen intentos de explotación.

Lo peor que podía pasar con la vulnerabilidad de ejecución remota de código

Si se explotaba con éxito, el atacante podía robar información, instalar malware adicional o escalar privilegios dentro de la red corporativa. En escenarios donde los usuarios tienen acceso amplio a recursos compartidos, el impacto podía ser devastador.

El caso también alimenta críticas hacia la estrategia de Microsoft de añadir funciones con IA y capacidades de red a aplicaciones que históricamente eran simples. El Bloc de notas no es el único ejemplo: Notepad++ enfrentó recientemente problemas de seguridad tras una actualización comprometida vinculada a actores patrocinados por el estado chino. 

A esto se suma que la actualización más grande de Windows en lo que va del año dejó inoperativos varios equipos alrededor del mundo, lo que ha intensificado el debate sobre si la compañía está sobrecargando su sistema operativo con funciones que, lejos de aportar, generan vulnerabilidades y riesgos.

La conclusión es evidente: quizá los editores de texto deberían mantenerse fieles a su propósito original, ser herramientas básicas y seguras, sin necesidad de funciones de red ni añadidos que los conviertan en un riesgo. Ojalá Microsoft tome nota de ello, del mismo modo que Dell ya ha adelantado que su estrategia futura no seguirá la tendencia de integrar inteligencia artificial hasta en la sopa.