Lo que durante décadas fue una herramienta casi inofensiva se ha convertido en el centro de una alerta de seguridad de primer nivel. El Bloc de notas de Windows 11, uno de los programas más básicos del sistema, ha estado afectado por una vulnerabilidad grave que podía permitir la ejecución remota de código en millones de ordenadores.
La brecha, catalogada como CVE-2026-20841 y con una puntuación de 8,8 sobre 10 en la escala CVSS, aprovechaba las nuevas funciones del Bloc de notas para convertir un simple archivo de texto en un posible vector de ataque. Un documento Markdown (.md) manipulado con enlaces maliciosos bastaba para comprometer el equipo si el usuario hacía clic en el enlace dentro de la aplicación.
Qué es exactamente el fallo crítico del Bloc de notas en Windows 11
Según el Centro de Respuesta de Seguridad de Microsoft (MSRC), el problema se originaba en una neutralización inadecuada de elementos especiales utilizados en un comando, es decir, una inyección de comandos de toda la vida. El Bloc de notas moderno es capaz de interpretar enlaces en archivos Markdown y lanzar protocolos externos, y es precisamente en ese punto donde la seguridad hacía aguas.
En la práctica, un atacante podía enviar un archivo .md adjunto en un correo de phishing, compartirlo por mensajería o alojarlo en una web. Si el usuario lo abría con el Bloc de notas de Windows 11 y pulsaba sobre un enlace malicioso incrustado, la aplicación podía disparar protocolos no verificados que cargaran y ejecutaran contenido remoto en el contexto de seguridad de ese usuario.
Esto se traduce en que el código malicioso se ejecutaba con los mismos privilegios que la cuenta afectada. Si el usuario trabajaba con permisos de administrador en Windows, el impacto potencial era serio: robo de información, modificación de archivos del sistema, instalación de malware adicional o incluso dejar el equipo completamente inservible.
Microsoft ha confirmado que se trata de una vulnerabilidad de Ejecución Remota de Código (RCE) con vector de ataque de red, baja complejidad técnica y sin necesidad de que el atacante tenga acceso previo al sistema. El único requisito es la interacción del usuario: abrir el archivo Markdown y hacer clic en el enlace marcado.
De editor minimalista a puerta de entrada: cómo hemos llegado hasta aquí
Durante años, la mejor protección del Bloc de notas era su propia sencillez. La versión clásica de Windows se limitaba a editar texto plano sin formato, sin enlaces clicables ni conexión con otros componentes complejos del sistema. Pero con Windows 11, Microsoft ha decidido ponerlo al día y convertirlo en algo bastante más ambicioso.
En los últimos tiempos, la aplicación ha recibido pestañas, autoguardado, revisión ortográfica, autocorrección, soporte completo para Markdown y, sobre todo, integración con Copilot, el asistente de inteligencia artificial de la compañía.
En los últimos tiempos, la aplicación ha recibido pestañas, autoguardado, revisión ortográfica, autocorrección, soporte completo para Markdown y, sobre todo, integración con Copilot, el asistente de inteligencia artificial de la compañía.
El soporte para Markdown en particular ha sido clave en esta historia. Al permitir que el editor interprete enlaces y los haga interactivos, la superficie de ataque ha crecido de forma notable. Un carácter mal procesado o un comando mal filtrado en un enlace pueden abrir la puerta a la ejecución de código que, en la versión clásica, simplemente no tenía dónde ejecutarse.
Fuentes técnicas apuntan a que la vulnerabilidad ha estado presente desde la versión 11.0.0 del nuevo Bloc de notas y se ha corregido en la compilación 11.2510 y posteriores. Es decir, todos los usuarios que no hayan actualizado la app desde la Microsoft Store corren el riesgo de seguir expuestos, especialmente en entornos donde las actualizaciones de la Store no son automáticas.
Cómo funciona el ataque con archivos Markdown maliciosos
El escenario de explotación es relativamente sencillo de imaginar y, por eso mismo, preocupante. Un atacante crea un archivo Markdown (.md) especialmente diseñado, donde incrusta uno o varios enlaces que en apariencia pueden parecer inofensivos (por ejemplo, un supuesto enlace a documentación o a un repositorio).
Cuando el usuario abre ese archivo con el Bloc de notas actualizado de Windows 11, los enlaces se muestran como clicables gracias al soporte de Markdown. En el momento en que la víctima pincha sobre uno de ellos, la aplicación inicia un protocolo sin validación adecuada, lo que puede llevar a la descarga y ejecución de archivos remotos o a la inyección de comandos en el sistema.
Ese código se ejecuta en el contexto de la cuenta que ha abierto el archivo, lo que significa que hereda todos sus permisos. En un equipo doméstico mal configurado, donde se trabaja habitualmente con una cuenta administradora, el atacante podría llegar a tomar el control total del PC, instalar ransomware, acceder a documentos personales o pivotar a otros dispositivos de la red local.
Aunque el vector principal descrito por Microsoft requiere ese clic sobre el enlace, algunas interpretaciones más alarmistas han señalado el riesgo de que, en determinadas configuraciones, la mera apertura del documento pueda activar procesos peligrosos a través del motor de renderizado. En cualquier caso, la compañía insiste en que no ha detectado explotación activa ni filtraciones previas antes del lanzamiento del parche.
Los informes publicados por Microsoft destacan que el impacto de esta vulnerabilidad es alto en confidencialidad, integridad y disponibilidad, tres de los pilares básicos de la seguridad informática. No se trata, por tanto, de un fallo menor, sino de un problema serio en una aplicación que viene preinstalada en prácticamente todos los equipos con Windows 11, tanto en España como en el resto de Europa.
Respuesta de Microsoft: parches, prioridades y recomendaciones
Tras identificar el fallo, Microsoft ha lanzado la corrección como parte del Patch Tuesday de febrero de 2026, además de actualizar directamente la aplicación a través de la Microsoft Store. La compañía ha remarcado que la vulnerabilidad no se hizo pública antes de ser arreglada y que, hasta la fecha, no hay evidencias de que haya sido aprovechada en ataques reales.
En el comunicado del MSRC se detalla que el error estaba ligado a la forma en que el Bloc de notas invocaba protocolos desde enlaces en Markdown, y que el parche introduce una validación más estricta de esos comandos, evitando que se ejecuten instrucciones arbitrarias o se carguen archivos remotos sin control.
La corrección afecta a la versión moderna de la app distribuida por la Store, no al antiguo Notepad.exe clásico. De ahí que sea tan importante revisar qué versión se está utilizando realmente. En entornos corporativos, donde muchas organizaciones en Europa mantienen políticas conservadoras de actualización, este detalle es especialmente relevante.
Al mismo tiempo, el incidente ha reavivado el debate sobre si tiene sentido llenar de funciones avanzadas aplicaciones que antes eran minimalistas, especialmente por la integración con asistentes.
Al mismo tiempo, el incidente ha reavivado el debate sobre si tiene sentido llenar de funciones avanzadas aplicaciones que antes eran minimalistas.
Cómo comprobar si estás protegido y qué pasos seguir
La buena noticia es que protegerse frente a este fallo es relativamente simple, siempre que se tomen unas cuantas precauciones básicas. El primer paso es asegurarse de que la aplicación está actualizada a la versión 11.2510 o superior, que es donde Microsoft ha introducido el parche.
Para comprobarlo y actualizar desde Windows 11, basta con seguir unos pasos muy concretos:
- Abrir la Microsoft Store desde el menú Inicio.
- Ir a la sección Biblioteca, en la parte inferior izquierda.
- Pulsar en “Obtener actualizaciones” y esperar a que se descarguen las nuevas versiones.
- Verificar que el Bloc de notas aparece actualizado a la compilación 11.2510 o posterior.
Además, la compañía recomienda habilitar las actualizaciones automáticas tanto del sistema como de las aplicaciones de la Store, algo especialmente relevante en empresas y administraciones públicas europeas, donde una app aparentemente inocua puede convivir en equipos con información sensible.
Como medida de contención adicional, mientras se confirma que el parche está instalado, diversos expertos en ciberseguridad sugieren desactivar temporalmente las funciones opcionales del Bloc de notas relacionadas con la conectividad y el procesado avanzado del texto:
- Desactivar el soporte para Markdown desde los ajustes de la app.
- Deshabilitar la autocorrección y la revisión ortográfica automática.
- Limitar o apagar, si es posible, la integración con Copilot dentro del editor.
- Evitar abrir archivos .md de procedencia desconocida y no hacer clic en enlaces incluidos en documentos inesperados.
En un contexto europeo donde el teletrabajo y el uso de dispositivos personales para conectarse a redes corporativas son cada vez más habituales, este tipo de recomendaciones no son exageradas. Un simple archivo Markdown recibido por correo puede convertirse, si se dan las circunstancias, en la puerta de entrada a toda una red empresarial.
Todo este episodio deja un mensaje claro: incluso las aplicaciones más simples dejan de ser inocuas cuando se les suman capas de IA, conexión a servicios externos y funciones avanzadas. El Bloc de notas de Windows 11 ha pasado de ser un bloc de apuntes digital a un componente más del entramado del sistema, con las ventajas y los riesgos que eso conlleva. Mantenerlo actualizado, revisar su configuración y tratar con cautela los archivos que abrimos son, a partir de ahora, pasos obligados para evitar sustos innecesarios.
