La corporación tecnológica Microsoft ha iniciado el despliegue de soluciones de seguridad para diversas brechas críticas detectadas en Windows y Office. Estas fallas estaban siendo utilizadas por cibercriminales para ejecutar exploits de día cero, requiriendo apenas una interacción mínima por parte de los usuarios afectados para comprometer sus sistemas.
A lo largo de esta semana, se han identificado tres vulnerabilidades específicas en el sistema operativo Windows y en la aplicación Notepad (Bloc de notas). Estos fallos han sido catalogados con una gravedad alta, destacando el hecho de que estaban siendo explotados de forma activa antes de que Microsoft pudiera emitir las correcciones correspondientes.
La naturaleza de estos exploits de día cero permite a los atacantes informáticos realizar instalaciones de malware o tomar control total del equipo de la víctima. Para lograr el acceso, el atacante solo necesita que el usuario realice una acción tan simple como hacer clic en un enlace de origen malicioso.
Análisis de las vulnerabilidades críticas
Uno de los incidentes de seguridad más relevantes es el identificado como CVE-2026-21510, el cual residía en el Shell de Windows. Esta brecha de seguridad permitía que, tras el clic de la víctima en un vínculo malintencionado, los atacantes lograran esquivar la protección de la herramienta SmartScreen de Microsoft.
En relación a este error, un representante de Google confirmó que el fallo ha estado bajo una
«explotación activa y generalizada»
. Esta situación facilitó a los grupos criminales la distribución de ransomware y el robo de datos sensibles de los usuarios.
Asimismo, se reportó el fallo CVE-2026-21513, localizado en el motor de navegación MSHTML. Mediante esta vulnerabilidad, los perpetradores lograban saltarse las medidas de protección habituales de Windows.
Amenazas en el Bloc de notas y archivos Markdown
Por otra parte, se detectó la vulnerabilidad CVE-2026-20841 en el Bloc de notas. Este error se manifestaba mediante la inserción de enlaces peligrosos dentro de archivos con extensión Markdown. Una vez que el usuario seleccionaba dichos enlaces, se activaban protocolos no verificados que daban paso a la carga y ejecución de archivos dañinos en el ordenador.
A pesar de la gravedad del reporte, Microsoft ha declarado que no posee evidencias tangibles de que se hayan concretado ataques dirigidos específicamente contra el Bloc de notas. No obstante, la firma decidió incluir la solución a esta brecha en el paquete de actualizaciones del pasado martes.
La empresa ha advertido que, debido a que los detalles técnicos sobre cómo aprovechar estas vulnerabilidades han sido publicados, el riesgo de que ocurran nuevos ciberataques podría incrementarse significativamente. Al ser consultada sobre el origen de la filtración de estos detalles, Microsoft ha preferido no especificar los sitios donde se difundió la información y sus voceros han declinado profundizar en el tema.
Fuente: Fuente