En plena época estival Juan Carlos García Cuartango, un español conocido por su capacidad para encontrar agujeros y vulnerabilidades dentro de los programas de Microsoft, anunciaba su último descubrimiento, un agujero en el motor de acceso a bases de datos jet 3.51. Esto que en principio puede parecer una noticia de una vulnerabilidad más, no lo es tanto, debido a las posibilidades que este problema podía traer consigo.

El descubrimiento de Juan Carlos permitía construir una hoja de cálculo Excel que enviara comandos al sistema operativo sin necesidad de contener ningún tipo de macros. Es decir, bastaba con abrir una hoja de calculo que explotara la vulnerabilidad para que esta accediera a cualquier parte del sistema, con infinitas posibilidades, formatear el disco duro, instalar un troyano, robar información, etc.

Pero además la hoja de cálculo maligna realizaba todas sus acciones sin realizar ningún aviso al usuario, ya que la hoja atacante no contenía ningún tipo de macro. Pero Cuartango llevaba aun más lejos su descubrimiento, este fallo de seguridad podía ser explotado a través de la Red e incluso de un mensaje de e-mail. Un mensaje con un frame oculto que contuviera IFRAME SRC=hoja_maliciosa.xls abriría la hoja de cálculo (y por tanto ejecutaría su acción dañina) con tan sólo abrir el mensaje para su lectura.

Hasta este momento se tenía como algo totalmente imposible el que bastaba con abrir un mensaje de correo para verse infectado, pero el aumento de las posibilidades de los lectores de correo, y la facilidad de estos para recibir e interpretar determinado tipo de código, hace posible dicha infección. Otro ejemplo, es "BubbleBoy", un gusano escrito en VBS (Visual Basic Script) que puede considerarse como el primer virus compatible con e-mail capaz de activarse sin que el usuario ejecute, abra, o incluso guarde en su disco cualquier tipo de fichero adjunto recibido.