Microsoft lanzó recientemente una actualización de seguridad que solucionó una grave vulnerabilidad de seguridad en el Bloc de notas de Windows. Una vez explotada con éxito, la vulnerabilidad podría permitir a los piratas informáticos ejecutar de forma remota código malicioso y apoderarse por completo del ordenador de la víctima. Este problema es diferente de los incidentes de seguridad descubiertos anteriormente en Notepad++ y afecta específicamente a la versión moderna de la aplicación Bloc de notas de Windows disponible a través de Microsoft Store, específicamente a su comportamiento al procesar archivos Markdown (.md).
La vulnerabilidad, numerada CVE-2026-20841, está clasificada como vulnerabilidad de ejecución remota de código (RCE). La causa principal es que el Bloc de notas no limpia ni bloquea adecuadamente los caracteres especiales peligrosos al procesar comandos específicos. Según las instrucciones de Microsoft en la guía de actualización de seguridad, los atacantes pueden construir archivos Markdown maliciosos especialmente diseñados e incrustar enlaces cuidadosamente disfrazados en los archivos. Una vez que el usuario abre el archivo usando el Bloc de notas y hace clic en el enlace, se puede desencadenar la cadena de ataque y se ejecutará un script para descargar y ejecutar código malicioso. Si el proceso de ataque tiene éxito, el pirata informático puede obtener el control total de la computadora objetivo y luego acceder a varios recursos y permisos en el sistema operativo.
En términos de clasificación de riesgo, la puntuación base CVSS v3.1 de la vulnerabilidad es 8,8, que es un nivel de "alto riesgo". Microsoft también lo marcó como "importante" en su propio sistema. En el momento en que se lanzó el parche, Microsoft dijo que no había detectado la vulnerabilidad siendo explotada públicamente, pero aun así instó a los usuarios a completar las actualizaciones del sistema lo antes posible para reducir los riesgos potenciales.
Esta solución se incluyó en la actualización de seguridad de rutina del martes de parches de febrero de 2026 y se lanzó oficialmente el 10 de febrero de 2026. Microsoft recomienda que los usuarios instalen las últimas actualizaciones de Windows y se aseguren de que la aplicación Notas obtenida en Microsoft Store sea la última versión para obtener correcciones de seguridad relevantes. Los usuarios también pueden ver la entrada de vulnerabilidad a través del Portal de seguridad de Microsoft para obtener información técnica más detallada e instrucciones de parche.
El incidente también generó dudas entre algunos usuarios sobre la decisión de Microsoft de otorgar capacidades de red al Bloc de notas. Algunos usuarios creen que el Bloc de notas, como simple editor de texto, no requiere capacidades de red continuas, pero el acceso a la red aumenta la superficie potencial de ataque. Sin embargo, actualmente permitir que el Bloc de notas acceda a Internet es uno de los requisitos previos para mantener su función de integración Copilot incorporada. Microsoft ha introducido recientemente más herramientas de formato y funciones relacionadas con la inteligencia artificial en el Bloc de notas. En cuanto a si Copilot es necesario para aparecer en un editor tan liviano, todavía hay mucha controversia y discusión en la comunidad de usuarios.
aprender más:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841