En 2025, el popular editor de texto Notepad++ fue víctima de un sofisticado ataque a la cadena de suministro de software (supply chain attack), en el que se comprometió la infraestructura del proveedor de hosting y se manipularon actualizaciones para un subconjunto de usuarios. El 2 de febrero de 2026, su desarrollador, Don Ho, publicó los resultados de la investigación, confirmando el alcance y la naturaleza dirigida del incidente.
Cómo se comprometió el mecanismo de actualización de Notepad++
La actividad maliciosa comenzó en junio de 2025 y pasó inadvertida hasta diciembre. El código fuente de Notepad++ no fue alterado; el ataque se centró en el antiguo proveedor de alojamiento del dominio notepad-plus-plus.org. Es un ejemplo claro de ataque a la cadena de suministro, donde el objetivo no es el producto, sino la infraestructura que lo distribuye.
Los atacantes interceptaban peticiones HTTP del componente de actualización y redirigían selectivamente el tráfico a servidores bajo su control. A determinados usuarios se les devolvían manifiestos de actualización falsificados con enlaces a instaladores maliciosos. Esta sustitución parcial, y no masiva, redujo significativamente la probabilidad de una detección temprana.
Una vez instalada, la carga maliciosa realizaba una reconocimiento inicial del sistema comprometido, ejecutando comandos estándar de Windows como netstat, systeminfo, tasklist y whoami. La información recolectada (red, configuración del sistema, procesos y cuenta de usuario) se almacenaba localmente y se exfiltraba mediante curl al servicio de alojamiento temporal temp[.]sh. Este tipo de funcionalidad mínima es característico de la fase inicial de ataques dirigidos (APT), cuyo objetivo es evaluar el valor del objetivo antes de desplegar herramientas más avanzadas.
Cronología técnica de la intrusión en el proveedor de hosting
Según el informe del antiguo proveedor de hosting, el servidor que alojaba el sitio de actualizaciones de Notepad++ fue comprometido antes del 2 de septiembre de 2025. Ese día se realizó un mantenimiento programado (actualización de kernel y firmware) y, desde ese momento, desaparecieron de los registros los patrones de acceso sospechosos al propio servidor, lo que indica pérdida del control directo por parte de los atacantes.
No obstante, el proveedor determinó que los intrusos mantuvieron acceso a servicios internos de la infraestructura hasta el 2 de diciembre de 2025. Este nivel de acceso bastó para seguir redirigiendo de forma selectiva las peticiones a /update/getDownloadUrl.php hacia sus servidores y entregar URLs de actualización maliciosas. Los registros no muestran actividad hostil contra otros clientes del mismo servidor, lo que refuerza la hipótesis de un ataque estrictamente focalizado en el dominio notepad-plus-plus.org.
Los equipos de respuesta a incidentes estiman que la fase práctica de la operación terminó alrededor del 10 de noviembre de 2025. Aunque existen ligeras discrepancias en las fechas exactas, el periodo de compromiso de la infraestructura se sitúa razonablemente entre junio y diciembre de 2025.
Posible implicación de una APT china en el ataque supply chain
Diversos analistas independientes de ciberseguridad atribuyen con alta probabilidad el incidente a una APT (Advanced Persistent Threat) vinculada a intereses gubernamentales chinos. Entre los indicios citados destacan el carácter altamente dirigido de la operación, el bajo nivel de ruido (sólo se manipuló una fracción de las actualizaciones) y el perfil de las organizaciones afectadas, con intereses empresariales en Asia Oriental.
Este modus operandi encaja con patrones observados en otras campañas de ataques a la cadena de suministro, utilizados por grupos estatales para lograr acceso sigiloso a infraestructuras específicas. Informes de organismos como ENISA y CISA subrayan que las intrusiones en la cadena de suministro siguen siendo uno de los vectores más eficaces y difíciles de detectar, debido a la confianza implícita en las actualizaciones de software legítimas.
Refuerzo de la seguridad de actualizaciones en Notepad++
Tras los primeros reportes de anomalías a finales de 2025, el equipo de Notepad++ reaccionó endureciendo progresivamente el mecanismo de actualización. En noviembre se publicó Notepad++ 8.8.8, versión en la que las descargas de nuevas versiones pasaron a realizarse exclusivamente desde GitHub, reduciendo el riesgo de manipulación en el lado del hosting.
El 9 de diciembre llegó la versión 8.8.9, que incorporó controles criptográficos más estrictos: el componente de actualización WinGup comenzó a verificar la firma digital del instalador y el certificado del desarrollador. Además, el servidor de actualizaciones empezó a firmar sus respuestas XML mediante XMLDSig, lo que permite validar la autenticidad e integridad de los metadatos de actualización, y no sólo del ejecutable.
El sitio de Notepad++ fue migrado a un nuevo proveedor de hosting con controles de seguridad reforzados y procedimientos revisados. Se espera que la versión 8.9.2 haga obligatoria la validación de firma y certificado para cualquier actualización. Entretanto, se recomienda a los usuarios descargar e instalar manualmente la versión 8.9.1, que ya integra las principales mejoras de protección.
Lecciones de ciberseguridad sobre la protección de actualizaciones de software
Este incidente evidencia que incluso herramientas ampliamente confiables pueden convertirse en vectores de entrada si se compromete su cadena de distribución. El mecanismo de actualización de software debe tratarse como un componente de seguridad crítico, no solo como una función de conveniencia.
Buenas prácticas para organizaciones y usuarios
Entre las recomendaciones clave destacan: activar siempre que sea posible la verificación de firmas digitales de las actualizaciones; limitar la actualización automática en sistemas críticos; monitorizar el tráfico saliente hacia servicios poco habituales (como plataformas de almacenamiento temporal de archivos); y seguir de forma sistemática los avisos de seguridad relacionados con las aplicaciones en uso.
Para las empresas, resulta esencial reforzar la gestión de riesgos de terceros: exigir a proveedores y socios de hosting políticas claras de registro de actividad, auditorías periódicas, controles de acceso segmentados y planes de respuesta a incidentes. Cuanto más madura sea la seguridad de la cadena de suministro, más difícil resultará para los atacantes ejecutar operaciones silenciosas de este tipo.
El caso de Notepad++ recuerda que la resiliencia frente a ataques a la cadena de suministro es una responsabilidad compartida entre desarrolladores, proveedores de servicios y usuarios finales. Revisar las políticas de actualización, validar la autenticidad de los paquetes y vigilar la actividad de red anómala son pasos concretos que cualquier organización puede adoptar hoy para reducir su superficie de ataque y fortalecer su postura de ciberseguridad.
