La comunidad de Notepad++ ha recibido esta semana la confirmación de un incidente que muchos ya temían: durante varios meses el tráfico de actualizaciones del editor fue secuestrado y algunos usuarios recibieron manifiestos de actualización manipulados. Según el propio desarrollador, el hecho aprovechó una debilidad en las comprobaciones de integridad del sistema de actualizaciones y permitió a los atacantes redirigir de forma selectiva las peticiones hacia servidores maliciosos.
El origen del problema, según la investigación interna y las colaboraciones con expertos externos, se remonta a junio de 2025, cuando un proveedor de hosting que alojaba la infraestructura de actualización fue comprometido. Esa intrusión ofreció a los atacantes la capacidad técnica para interceptar y cambiar respuestas de actualización sólo para ciertos usuarios; no fue una distribución masiva y indiscriminada, sino una campaña altamente selectiva.
La forma concreta en que operaron consistió en enviar un XML de actualización alterado y paquetes que parecían legítimos para el cliente de actualización (WinGUp) de Notepad++. Era posible porque versiones antiguas del sistema no verificaban de forma estricta la firma y los certificados de los instaladores y del manifiesto de actualización. A raíz del incidente, Notepad++ ha publicado información oficial sobre lo ocurrido y las medidas adoptadas: la nota pública del proyecto contiene el cronograma y las acciones tomadas.
El vector técnico no fue únicamente una puerta abierta en el hosting: cuando en septiembre el proveedor parcheó el kernel y el firmware, los atacantes perdieron el acceso temporalmente, pero pudieron reentrar usando credenciales internas que ya habían exfiltrado y que no se habían renovado, lo que evidencia la importancia de rotar credenciales tras una intrusión. Esa condición se mantuvo hasta el 2 de diciembre de 2025, fecha en que el proveedor detectó finalmente la brecha y cortó el acceso del atacante.
La atribución no es algo que se anuncie a la ligera, pero múltiples investigadores independientes han señalado que el comportamiento del adversario —la selectividad, los objetivos y la sofisticación— encaja con tácticas vistas en campañas vinculadas a actores estatales chinos. Esa conclusión, replicada por varias partes, es la que Notepad++ cita en su comunicado como la hipótesis más consistente con los hechos observados.
Investigadores de seguridad como Kevin Beaumont advirtieron públicamente sobre impactos en al menos tres organizaciones y describieron actividad de reconocimiento manual en las redes afectadas tras las infecciones iniciales. Para quien quiera seguir el trabajo de especialistas que rastrean este tipo de incidentes, la página de Kevin Beaumont recoge muchos hilos y análisis útiles: kevinbeaumont.com. Los medios especializados también han venido cubriendo el caso y ofrecen un resumen de cómo se desarrolló la intrusión y la respuesta.
Notepad++ es una herramienta gratuita y de código abierto con decenas de millones de usuarios en Windows, lo que hace que cualquier problema en su cadena de actualización tenga potencial impacto más allá de unas pocas máquinas. Precisamente por ese potencial de alcance, el proyecto ha movido a todos los clientes a un nuevo proveedor de hosting con controles más fuertes, ha roto credenciales que pudieron verse comprometidas y ha corregido las vulnerabilidades explotadas.
En lo técnico, el proyecto ya lanzó la versión 8.8.9 que introduce comprobaciones de certificados y firma en los instaladores y aplica firma criptográfica al XML de actualización, lo que reduce drásticamente la posibilidad de que un actor intermedio sirva paquetes maliciosos sin ser detectado. Además, Notepad++ ha anunciado que en la próxima versión 8.9.2 planea forzar de forma obligatoria la verificación de firmas, una medida que elevará la barrera a este tipo de abusos.
Este incidente es un recordatorio práctico de por qué la protección de la cadena de suministro de software y las buenas prácticas en gestión de identidades son críticas. Organizaciones como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ofrecen guías para asegurar cadenas de suministro y mitigar riesgos de actualizaciones comprometidas; resulta útil revisarlas para entender controles adicionales que se pueden aplicar: CISA - Supply Chain Security.
Si eres usuario de Notepad++, lo más importante es actualizar a la versión que corrige el fallo y comprobar credenciales expuestas en infraestructuras propias. Notepad++ y los comunicados públicos recomiendan, entre otras medidas, renovar contraseñas y claves usadas en servicios de despliegue y hosting, revisar y limpiar cuentas administrativas (por ejemplo en WordPress si se usa para alojar actualizaciones), y asegurarse de que las plataformas críticas aplican actualizaciones automáticas y verifican firmas digitales.
En un plano más amplio, es recomendable que los responsables de TI adopten políticas de firma de código y validación de actualizaciones para todo software crítico, y que implementen rotación de credenciales y monitorización continua de integridad. La firma de paquetes y la validación criptográfica son controles que reducen de forma significativa la posibilidad de que un intermediario con acceso al transporte de datos pueda inyectar software malicioso; empresas de certificación explican con detalle cómo funciona la firma de código y por qué es esencial: DigiCert - Code Signing.
Por último, aunque Notepad++ afirma haber detenido la actividad maliciosa tras las rectificaciones y la migración, la naturaleza selectiva de la campaña implica que algunas organizaciones concretas podrían haber sufrido seguimiento adicional una vez comprometidos sus equipos. Si crees que tu organización pudo estar entre las afectadas, lo prudente es realizar una revisión forense de logs y puntos finales, buscar indicadores de lateralidad y, en caso de duda, contactar con profesionales en respuesta a incidentes para evaluar el alcance y remedio.
La lección para todos es clara: las herramientas ampliamente usadas no son inmunes a ataques dirigidos, y mantener procesos robustos de firma, control de acceso y rotación de credenciales es tan importante como parchear el software. Para seguir las actualizaciones oficiales sobre este asunto conviene consultar la página de Notepad++ y las coberturas de medios especializados como Bleeping Computer, donde se han estado publicando detalles y seguimiento del caso.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...