Quisieron arreglar fallos y se toparon con el "camarada mayor": todo sobre el ataque a Notepad++
Notepad++ migra su sitio web a una nueva plataforma tras un ataque a la cadena de suministro a gran escala
El popular editor de texto Notepad++ casi medio año distribuyó a los usuarios no actualizaciones sino archivos maliciosos. El ataque pasó desapercibido desde junio hasta diciembre de 2025 y afectó al mecanismo de actualización del programa, que usan a diario decenas de miles de personas. En lugar de correcciones, algunos recibieron software espía.
El desarrollador de Notepad++, Don Ho, reveló los detalles del incidente el 2 de febrero de 2026. Los atacantes no comprometieron el proyecto en sí. Accedieron al proveedor de hosting donde estaba alojado el sitio notepad-plus-plus.org. El recurso funcionaba en un servidor compartido con otros clientes. Tras la compromisión de ese servidor, los atacantes pudieron ver y modificar el tráfico que lo atravesaba.
El sistema de actualización de Notepad++ es bastante sencillo. El módulo integrado solicita al servidor un pequeño archivo con la dirección de la última versión, luego descarga el instalador en una carpeta temporal y lo ejecuta. En versiones antiguas no se realizaba una verificación completa de la autenticidad del archivo. El programa de hecho confiaba en cualquier instalador recibido y no comprobaba la firma digital y la cadena de certificados.
Fue eso lo que aprovecharon los atacantes. Interceptaban las solicitudes de actualización y sustituían el enlace en la respuesta del servidor. En lugar del instalador legítimo, enviaban al usuario un archivo desde su propio nodo. El módulo de actualización lo ejecutaba sin advertencias, ya que no sabía distinguir la falsificación del original.
El investigador en seguridad Kevin Beaumont examinó varios casos confirmados de infección. Según sus datos, se vieron afectadas organizaciones de los sectores de telecomunicaciones y financiero en Asia Oriental. Tras el acceso inicial, operadores humanos trabajaron en las redes y examinaron la infraestructura manualmente. No fue un envío masivo de malware, sino una operación de reconocimiento puntual.
El módulo malicioso se guardaba en la carpeta temporal bajo el nombre AutoUpdater.exe, nombre que no usa el verdadero actualizador de Notepad++. Luego recopilaba información sobre el sistema, los procesos en ejecución, las conexiones de red y los privilegios del usuario. Los resultados se enviaban a un servicio de archivos anónimo que ya se ha observado en otras campañas de espionaje.
La investigación mostró varias debilidades. En versiones antiguas se empleaba un certificado raíz propio para firmar el código, y este estaba disponible públicamente en el repositorio. La verificación de certificados en la conexión segura funcionaba de forma incorrecta. Un factor de riesgo adicional fue alojar el sitio en un hosting compartido, donde la violación de un cliente da acceso al tráfico de otros.
Según el proveedor, en septiembre se actualizó el servidor y el acceso inicial de los atacantes fue cerrado. Más tarde intentaron volver por la misma vía, pero sin éxito. Los primeros indicios públicos del problema aparecieron en octubre, cuando uno de los usuarios detectó el inicio sospechoso de un archivo de actualización desconocido. En noviembre el desarrollador trasladó la distribución de las nuevas versiones al repositorio de GitHub, y en diciembre añadió una comprobación estricta de certificados. Desde el 2 de diciembre la posibilidad de sustituir actualizaciones quedó definitivamente cerrada.
Varios especialistas vinculan el ataque con un grupo conocido como APT31, Zirconium o Violet Typhoon. Se le atribuye apoyo estatal y operaciones de reconocimiento prolongadas. Sin embargo, en ciberseguridad la atribución exacta casi nunca es cien por ciento, por lo que es pronto para extraer conclusiones definitivas.
El desarrollador ya trasladó el sitio a otro proveedor y reforzó la protección del mecanismo de actualizaciones. Se recomienda a los usuarios instalar la versión 8.8.9 o posterior y, si es necesario, descargar el instalador manualmente desde la página oficial. La historia es un ejemplo ilustrativo de cómo un ataque a la cadena de suministro de software puede afectar a millones de personas, incluso si el proyecto en sí no fue hackeado directamente.