Abrir una imagen con Microsoft Paint parece la operación más inocente del mundo. Con CVE-2026-35421 deja de serlo. Microsoft incluyó este fallo en su Patch Tuesday del 12 de mayo de 2026 y lo clasificó como ejecución remota de código en el subsistema gráfico GDI de Windows.
Qué es la vulnerabilidad
GDI (Graphics Device Interface) es la capa de Windows encargada de dibujar gráficos en pantalla y de gestionar formatos de imagen vectorial como los Enhanced Metafile (EMF). CVE-2026-35421 es un desbordamiento de buffer en el heap (CWE-122) dentro del código que procesa estos ficheros. Cuando GDI interpreta un EMF preparado a propósito, escribe fuera de los límites de una estructura reservada en memoria dinámica. Esa escritura controlada por el atacante es lo que abre la puerta a ejecutar código.
El detonante práctico es Microsoft Paint. Paint usa GDI para renderizar el contenido, así que basta con que la víctima abra un archivo EMF malicioso para que el código vulnerable entre en acción. No hace falta que el fichero tenga aspecto sospechoso ni que muestre un error: el daño ocurre durante el procesado de la imagen.
A quién afecta y con qué gravedad
Microsoft le asignó un CVSS de 7.8 y la trata como ejecución de código. El matiz importante es que el código se ejecuta con los privilegios del usuario que abre el archivo. Si ese usuario es administrador, el atacante hereda ese nivel; si es una cuenta limitada, el alcance inicial queda contenido a esa cuenta, aunque sigue siendo un punto de entrada útil para encadenar otras escaladas.
Es un vector de ingeniería social clásico. El atacante no entra solo en tu equipo: necesita que alguien abra el EMF. Por eso encaja bien en campañas de phishing, en adjuntos de correo o en descargas disfrazadas. No consta explotación activa en el momento del parche, y este Patch Tuesday de mayo fue el primero sin ningún zero-day desde junio de 2024. Aun así, una vez publicado el parche, los detalles quedan disponibles para quien quiera construir un exploit, de modo que la ventana de calma no dura.
Mitigación
La respuesta es directa: aplica el Patch Tuesday de mayo de 2026. La actualización corrige el código de GDI que procesa los EMF, así que cubre tanto a Paint como a cualquier otra aplicación que renderice metafiles a través de la misma librería del sistema. Si gestionas un parque de equipos, prioriza el despliegue en las máquinas donde los usuarios abren adjuntos con frecuencia.
Mientras el parche llega a todos tus sistemas, conviene desconfiar de los ficheros EMF de origen desconocido y no abrir adjuntos gráficos inesperados. Trabajar con cuentas sin privilegios de administrador en el día a día limita lo que un exploit puede conseguir si tiene éxito. Y si tu organización filtra adjuntos en el correo, añadir los EMF a la lista de tipos a inspeccionar reduce la superficie.
Conviene recordar que esto no es un fallo exclusivo de Paint. Paint es el camino más cómodo de demostrar, pero el problema vive en GDI, una pieza que muchas aplicaciones de Windows usan sin que el usuario lo note.