Microsoft ha publicado una advertencia en su portal de seguridad en la que avisa que ha encontrado una vulnerabilidad que afecta a todas las versiones soportadas de Windows y a Windows 7, que dejó de recibir soporte en enero de este año, así que no se corregirá salvo en su versión para empresas.

El fallo permite a un atacante ejecutar código como un ransomware si se abre (o se previsualiza con Windows Preview) un documento de texto malicioso. En principio, a pesar de tratarse de una vulnerabilidad "crítica", la compañía no lanzará un parche para corregirla al menos hasta el próximo 14 de abril, pues siempre publica este tipo de actualizaciones el segundo martes de cada mes y, aunque no ha proporcionado una fecha exacta, es de suponer que llegará entonces, pues ya están trabajando en ella.

Según explica la propia firma, las actualizaciones que corrigen vulnerabilidades siguen esta agenda para permitir que los equipos de tecnologías de la información de las compañías puedan predecirlo y trabajar en torno a ello. Si bien en alguna ocasión se ha saltado este sistema para corregir fallos, no parece que en esta ocasión vaya a hacerlo.

Microsoft reconoce que ya hay "ataques limitados y dirigidos" que se aprovechan del fallo, aunque no dio más información en este sentido. Al tratarse de una vulnerabilidad que se aprovecha de cómo Windows maneja y renderiza las fuentes, no es necesario enviar un archivo ejecutable -mucho más sospechoso- sino que es posible atacar un equipo con un documento de texto que ni siquiera debe abrirse para afectar al ordenador; basta con que se previsualice con la herramienta de Windows (aunque no con la de Outlook).

En la advertencia también se recogen algunas formas de protegerse del ataque, aunque están más destinadas a los equipos técnicos que a los usuarios finales. En este caso, el método más sencillo para estar a salvo de la vulnerabilidad es no abrir archivos de fuentes desconocidas.