Notepad++, uno de los editores de texto más utilizados en entornos de desarrollo y administración de sistemas, ha reforzado de forma significativa la seguridad de su mecanismo de autoactualización. Tras investigarse una campaña de ataque a la cadena de suministro que explotó su infraestructura de actualizaciones, el proyecto ha incorporado un sistema de «double-lock» (doble bloqueo) destinado a cerrar de manera robusta las brechas que permitieron la intrusión.
Ataque a la cadena de suministro de Notepad++: qué ocurrió y quién está detrás
Según un análisis conjunto de especialistas de Rapid7 y del equipo de Notepad++, desde junio de 2025 la amenaza atribuida al grupo chino Lotus Blossom aprovechó el mecanismo de autoactualización del editor para distribuir de forma encubierta malware. En lugar de manipular todas las descargas, los atacantes comprometieron al proveedor de hosting responsable de la infraestructura de actualizaciones y redirigieron selectivamente las peticiones de ciertos usuarios hacia servidores bajo su control, que imitaban el servicio legítimo.
En esa campaña se desplegó un backdoor personalizado denominado Chrysalis, diseñado para otorgar control persistente sobre los sistemas comprometidos. La actividad maliciosa se mantuvo hasta el 2 de diciembre de 2025, fecha en la que se detectaron anomalías en el tráfico de actualización y se deshabilitó el canal utilizado para propagar el software malicioso.
El eslabón débil: verificación insuficiente de las actualizaciones
La investigación reveló que el problema de fondo residía en una verificación de autenticidad de las actualizaciones demasiado laxa. El cliente de autoactualización de Notepad++ confiaba en exceso en la infraestructura del proveedor: no realizaba varias comprobaciones criptográficas independientes sobre los archivos descargados y las metadatos asociadas (versión, URL, etc.). Este patrón es característico de numerosos supply chain attacks, donde el objetivo no es comprometer de forma directa los equipos finales, sino secuestrar el canal de confianza de distribución de software.
Casos como SolarWinds (2020) o CCleaner (2017), ampliamente documentados por la comunidad de ciberseguridad, demostraron que la manipulación de actualizaciones legítimas puede tener un impacto masivo: usuarios y organizaciones instalan sin sospechar actualizaciones aparentemente oficiales que, en realidad, contienen código malicioso firmado o distribuido a través de canales comprometidos.
Refuerzo del mecanismo de actualización de Notepad++
Primer paso: validación criptográfica en Notepad++ 8.8.9
El endurecimiento del proceso de actualización comenzó con la versión Notepad++ 8.8.9, mediante la mejora del componente de autoactualización WinGUp. A partir de esta versión, el cliente verifica tanto el certificado digital como la firma criptográfica del instalador descargado. Esto implica que, incluso si un atacante intercepta el tráfico de red, no puede introducir un ejecutable no firmado o firmado con un certificado distinto sin que el sistema lo detecte como no confiable.
De forma paralela, el proyecto empezó a firmar la respuesta XML del servidor de actualizaciones utilizando XML Digital Signature (XMLDSig). En este XML se incluyen metadatos como la versión disponible, la URL oficial de descarga y otros parámetros críticos. La firma XMLDSig permite comprobar la integridad y autenticidad de dicha información: cualquier alteración en los campos firmados invalida automáticamente la firma.
Segundo paso: sistema de doble bloqueo (double-lock) en Notepad++ 8.9.2
La evolución natural de estas mejoras se materializa en la versión Notepad++ 8.9.2, donde se integra un mecanismo completo de double-lock para las autoactualizaciones. Este enfoque combina dos controles independientes:
1. Validación del instalador mediante certificado y firma. El cliente comprueba que el ejecutable de actualización está firmado por el editor esperado, que el certificado es válido y no ha sido revocado ni sustituido. Si estas condiciones no se cumplen, la actualización se bloquea.
2. Verificación del XML firmado con XMLDSig. Antes de iniciar la descarga, se valida la firma del XML que describe la nueva versión. Cualquier modificación en la versión anunciada, la URL o parámetros clave hace que la verificación falle y el proceso no continúe.
Esta doble capa de verificación dificulta en gran medida la explotación del canal de actualización. Incluso en un escenario de compromiso parcial de la infraestructura (por ejemplo, un servidor o un proveedor de hosting vulnerado), el atacante necesitaría alinear y falsificar de forma coherente tanto la firma del binario como la firma de las metadatos XML, lo que eleva drásticamente el coste y la complejidad técnica del ataque.
Recomendaciones de seguridad para usuarios y organizaciones
El equipo de Notepad++ recomienda encarecidamente a todos los usuarios actualizar a la versión 8.9.2 o superior y descargar el software exclusivamente desde el dominio oficial notepad-plus-plus.org. Esta medida es especialmente crítica en entornos corporativos y de administración, donde el editor se utiliza para tareas de desarrollo, gestión de infraestructuras o análisis de registros, y por tanto, en sistemas que manejan información sensible.
Desde la perspectiva de la ciberseguridad empresarial, este incidente refuerza varias buenas prácticas para mitigar ataques a la cadena de suministro de software: utilizar solo fuentes oficiales de descarga, automatizar la validación de firmas digitales y comprobación de hashes de actualizaciones críticas, e implementar el principio de mínimo privilegio para los mecanismos de autoactualización, evitando que se ejecuten con más permisos de los estrictamente necesarios.
La respuesta de Notepad++ demuestra que incluso proyectos maduros y ampliamente implantados deben revisar de manera continua sus modelos de confianza y mecanismos de actualización. Adoptar arquitecturas de verificación en múltiples capas, combinar firmas criptográficas independientes para ejecutables y metadatos, y tratar la cadena de suministro como un objetivo de alto valor son pasos esenciales para reducir el riesgo. Mantener las aplicaciones actualizadas, verificar su origen y comprender cómo se protegen sus procesos de actualización se ha convertido en una responsabilidad clave tanto para usuarios individuales como para organizaciones que aspiran a fortalecer de forma realista su postura de ciberseguridad.
