El Bloc de notas ya no es el software inofensivo que fue durante cuarenta años. Microsoft ha corregido una vulnerabilidad crítica de seguridad en su editor de texto. En el centro del problema está el soporte para Markdown añadido en 2025. Un simple clic en un enlace malicioso podía llevar a un ataque informático.
La vulnerabilidad está referenciada como CVE-2026-20841. Fue corregida en el Patch Tuesday del 10 de febrero de 2026, afortunadamente con menos problemas de bugs que la de enero. Su puntuación CVSS v3.1 alcanza 8.8 sobre 10. Microsoft la ha clasificado como “Crítica”. Afecta solo a la versión moderna del Bloc de notas, la disponible en Microsoft Store. La antigua notepad.exe no se ve afectada.
El Bloc de notas bastaba para piratear tu PC con Windows
El problema radica en una inyección de comandos. Las protecciones de la aplicación no limpiaban correctamente ciertos caracteres especiales en algunos comandos. Un atacante podía crear un archivo Markdown (.md) con enlaces fraudulentos. Si abrías el Bloc de notas y hacías clic en uno de esos enlaces, se activaba un script capaz de descargar y ejecutar código malicioso. Para los atacantes: el control del PC con los mismos permisos que el usuario.
El ataque no requería habilidades avanzadas en ingeniería social. Bastaba con convencer a alguien para que abriera un archivo y clicara en un enlace. Algo tan simple, a diferencia de otras técnicas más complejas. El Bloc de notas está preinstalado en todos los PCs con Windows, lo que aumenta la superficie de ataque. Microsoft indica que no ha registrado ninguna explotación de esta vulnerabilidad antes de la publicación del parche.
El Bloc de notas ha experimentado una transformación radical en los últimos dos años. Microsoft ha añadido pestañas, modo oscuro y corrector ortográfico. Luego, en mayo de 2025, se introdujo Markdown. Este lenguaje de marcado permite darle formato al texto con títulos, listas, negritas y enlaces clicables. Ahora, el Bloc de notas puede mostrar e interpretar estos elementos. Precisamente esta interpretación de los enlaces ha creado la vulnerabilidad.
Antes del Markdown, el Bloc de notas no hacía nada con las URL. Las mostraba como texto plano. No había posibilidad de ejecución y, por lo tanto, ningún riesgo. Markdown añadió un mecanismo para procesar los protocolos que el Bloc de notas nunca había necesitado manejar. Las verificaciones de seguridad no estaban a la altura.
El Bloc de notas potenciado por IA y conectado a Internet es rechazado
Esta vulnerabilidad da argumentos a los puristas que critican la dirección tomada por Microsoft. El Bloc de notas era un software sin pretensiones. Abría texto. Cerraba texto. No hacía más que eso. En los últimos dos años, Microsoft lo ha transformado en un mini procesador de textos potenciado por IA. La reescritura, el resumen y la generación de texto a través de Copilot se han sumado al Markdown y a las tablas. Todas estas funciones requieren una conexión a Internet y una cuenta de Microsoft. Ya es suficiente, para ser sinceros.
Para los seguidores de la primera hora, el Bloc de notas no tiene razón para estar conectado a la red. Su vocación siempre ha sido local. Cada función de red añadida es una superficie de ataque adicional. La CVE-2026-20841 es la demostración concreta de ello.
Para protegerse, el procedimiento sigue siendo el mismo: instalar las actualizaciones de Windows y mantener las aplicaciones actualizadas a través de Microsoft Store. El Markdown y Copilot se pueden desactivar en la configuración del Bloc de notas. Aquellos que prefieren un editor de texto sin complicaciones pueden restaurar la antigua notepad.exe de Windows 10.
Fuente: Microsoft
