Según un anuncio de Microsoft, la vulnerabilidad con código CVE-2026-20841 se considera muy grave, con una puntuación de 8. 8/7. 7 según la escala CVSS (que es un sistema de estándares industriales abiertos, utilizado para evaluar y cuantificar la gravedad de las vulnerabilidades de seguridad de software/hardware).
Esta vulnerabilidad permite a los atacantes engañar a los usuarios para que hagan clic en enlaces maliciosos insertados en el archivo Markdown abierto con el Bloc-in.
En ese caso, la aplicación puede iniciar protocolos no verificados, descargar y ejecutar archivos de forma remota.
En otras palabras, los hackers pueden crear un archivo Markdown que contiene enlaces maliciosos. Si el usuario hace clic accidentalmente en él, el código malicioso puede descargarse y ejecutarse en el sistema, allanando así el camino para controlar el dispositivo, robar datos o instalar software espía.
La vulnerabilidad se ha solucionado en la actualización Patch Tuesday de febrero de 2026. Microsoft recomienda a los usuarios de Windows que instalen rápidamente el último parche para garantizar la seguridad.
La empresa también dijo que en el momento del anuncio, no se habían registrado casos de explotación pública de esta vulnerabilidad.
En particular, el incidente ocurrió solo un día después de que el desarrollador Notepad++ (un editor de textos alternativo popular) anunciara que su infraestructura había sido pirateada, lo que generó preocupaciones sobre la seguridad de las herramientas de redacción de textos.
Anteriormente, Notepad era solo un simple editor de texto que funcionaba fuera de línea. Sin embargo, desde mayo del año pasado, Microsoft ha rediseñado la aplicación, agregando soporte para Markdown y funciones en línea.
En particular, Notepad ahora puede conectarse a Internet para servir al asistente de IA de Microsoft Copilot.
La expansión de esta función hace que muchos usuarios se pregunten si un editor de texto básico necesita acceder a la red con frecuencia.
En los últimos años, Microsoft ha enfrentado no pocas críticas por integrar Copilot y herramientas de IA en aplicaciones centrales como Notepad o Paint.
Sin embargo, los expertos en seguridad enfatizan que el mayor riesgo no radica en la propia aplicación, sino en la falta de vigilancia de los usuarios ante archivos y enlaces extraños.
La actualización periódica del sistema sigue siendo la medida más importante para proteger el dispositivo de las amenazas cada vez más sofisticadas.
