Notepad++ fue hackeado durante meses: así se manipuló su sistema de actualizaciones

Inicio » Software » Notepad++ fue hackeado durante meses: así se manipuló su sistema de actualizaciones

Durante más de medio año, millones de usuarios confiaron en que las actualizaciones automáticas de Notepad++ eran seguras, cuando en realidad parte de ese tráfico estaba siendo desviado de forma silenciosa hacia servidores controlados por atacantes. El popular editor de texto para Windows, muy extendido entre desarrolladores y administradores de sistemas en Europa y el resto del mundo, ha reconocido que su infraestructura de actualización estuvo comprometida durante meses sin que nadie se diera cuenta.

Las investigaciones internas y los análisis de varios expertos en ciberseguridad apuntan a que detrás de la intrusión habría un grupo de hackers patrocinado por el Estado chino, que aprovechó fallos en el proveedor de alojamiento de Notepad++ para distribuir versiones modificadas del programa con una puerta trasera avanzada. Aunque el ataque fue selectivo y no masivo, el incidente ilustra hasta qué punto un simple editor de texto puede convertirse en un vector de ataque crítico en la cadena de suministro de software.

Seis meses de secuestro silencioso de las actualizaciones

El equipo de Notepad++ confirmó que el problema comenzó alrededor de junio de 2025, cuando se produjo una intrusión a nivel de infraestructura del proveedor de hosting que aloja el mecanismo de actualizaciones. Esa vulneración permitió a los atacantes interceptar y redirigir determinadas solicitudes dirigidas al dominio oficial notepad-plus-plus.org hacia servidores de actualización maliciosos bajo su control.

Según el comunicado oficial publicado en la web del proyecto, el servidor de alojamiento compartido permaneció comprometido al menos hasta el 2 de septiembre de 2025. Sin embargo, los atacantes lograron mantener acceso mediante credenciales internas hasta el 2 de diciembre de 2025, prolongando la posibilidad de redirigir tráfico de actualización de forma selectiva durante casi medio año. El propio desarrollador pidió disculpas públicas a los usuarios afectados por lo que calificó como un “secuestro” de la infraestructura.

Los registros de eventos revisados tras el incidente muestran que, incluso después de haberse corregido parte de la brecha, los ciberdelincuentes intentaron reexplotar vulnerabilidades previamente corregidas, aunque sin éxito. Esto confirma que no se trataba de un ataque oportunista, sino de una operación sostenida, con recursos y objetivos muy concretos.

El tráfico a notepad-plus-plus.org no es tan elevado como el de otros grandes servicios, algo que habría jugado a favor de los atacantes: resulta más viable manipular o inspeccionar de forma dirigida ese volumen de conexiones a nivel de proveedor o de cadena de red que en servicios masivos donde el ruido es mucho mayor.

Una puerta trasera avanzada: Chrysalis

La carga útil desplegada a través de las versiones manipuladas de Notepad++ no era un malware cualquiera. La firma de seguridad Rapid 7 analizó los binarios maliciosos y detectó una puerta trasera desconocida hasta entonces, a la que bautizaron como Chrysalis. Lejos de ser una simple herramienta puntual, los analistas la describieron como una “puerta trasera personalizada y con numerosas funciones”, con capacidades suficientes para mantenerse de manera persistente y operar de forma encubierta.

La amplia gama de funcionalidades de Chrysalis -que incluiría mecanismos de control remoto, recolección de información y posibles extensiones para moverse lateralmente dentro de una red comprometida- llevó a los investigadores a concluir que se trataba de una herramienta de largo recorrido, pensada para campañas de espionaje o ciberinteligencia, y no de un ejecutable improvisado para una única operación puntual.

Los expertos han subrayado que, por la naturaleza de la puerta trasera y la forma en que se distribuyó, todo indica que el objetivo principal no era tanto infectar a cuantos más usuarios mejor, sino llegar a organizaciones clave conectadas a sectores sensibles. Eso encaja con la tesis de que se trata de una operación de un actor estatal o alineado con un gobierno más que de cibercriminales centrados solo en beneficios económicos inmediatos.

Por ahora, no se han hecho públicos indicadores de compromiso detallados que permitan cuantificar de forma exacta cuántos sistemas en Europa o España pudieron resultar afectados, ni qué organizaciones concretas llegaron a ejecutar las versiones con puerta trasera. No obstante, la comunidad de seguridad coincide en que el número de víctimas reales sería relativamente reducido pero de alto valor estratégico.

Un hackeo práctico del teclado y control remoto de sistemas

El investigador independiente Kevin Beaumont fue uno de los primeros en conectar las piezas del puzle meses antes del aviso oficial de Notepad++. Según ha explicado, tres organizaciones contactaron con él para informarle de incidentes de seguridad vinculados a equipos que tenían instalado el editor de texto, en los que se detectaron funciones de keylogging (registro de pulsaciones de teclado) y acceso remoto mediante una interfaz web.

Beaumont afirmó que esos incidentes permitían a los atacantes no solo registrar lo que se escribía en los equipos afectados, sino también tomar el control directo de los dispositivos. Las tres organizaciones afectadas tenían intereses en Asia Oriental, lo que refuerza la hipótesis de que el ataque estaba altamente orientado hacia objetivos con un perfil geopolítico o económico muy concreto, y no tanto hacia el usuario doméstico medio.

Las sospechas de Beaumont aumentaron cuando, a mediados de noviembre, la versión 8.8.8 de Notepad++ introdujo cambios específicos para “proteger el actualizador de Notepad++ y evitar que sea hackeado para entregar algo que no sea Notepad++”. Ese movimiento, en apariencia discreto, hizo pensar que el equipo de desarrollo ya estaba trabajando para cerrar una brecha mayor de la que se había comunicado oficialmente en ese momento.

En diciembre, el investigador publicó su teoría de que el mecanismo de actualización estaba siendo secuestrado para distribuir malware, algo que encajaría después con la explicación detallada que la propia página oficial de Notepad++ haría pública semanas más tarde. El tiempo le dio la razón: la plataforma confirmó que el vector de ataque giraba precisamente en torno al actualizador WinGUP y a una combinación de problemas de validación criptográfica e infraestructura comprometida.

Que una herramienta aparentemente inocua como un editor de texto sirviera de puerta de entrada a funciones de keylogging y espionaje debería servir, según los expertos, como llamada de atención para las empresas que siguen subestimando el riesgo asociado a aplicaciones que consideran “menores” dentro de su inventario de software.

Cómo funcionaba el secuestro del actualizador WinGUP

El ataque no se basó en una vulnerabilidad clásica dentro del código de Notepad++ en sí mismo, sino en la forma en que el programa gestionaba su sistema de actualizaciones. Notepad++ utiliza un actualizador personalizado conocido como GUP o WinGUP (gup.exe), cuya misión es comprobar de forma periódica si hay una nueva versión disponible y, en caso afirmativo, descargarla.

En las versiones afectadas, el ejecutable gup.exe enviaba información sobre la versión instalada a una URL del dominio oficial (https://notepad-plus-plus.org/update/getDownloadUrl.php) y recibía como respuesta un archivo gup.xml que indicaba la dirección desde la que descargar el instalador de la nueva versión. Ese archivo se descargaba posteriormente al directorio %TEMP% del sistema y se ejecutaba, confiando en que se trataba de un binario legítimo.

El problema radica en que, si un atacante era capaz de interceptar y manipular el tráfico entre el cliente y el servidor -ya fuera a nivel de proveedor de alojamiento, de ISP o a través de otras técnicas de intermediación-, podía modificar el contenido de gup.xml para apuntar la descarga hacia cualquier URL bajo su control. A partir de ahí, bastaba con servir un archivo firmado de forma que superase las comprobaciones laxas de versiones antiguas del actualizador.

En teoría, el tráfico de actualización debería haberse realizado siempre mediante HTTPS. Sin embargo, en versiones más antiguas el uso de HTTP plano y la dependencia de un certificado raíz autofirmado, que incluso estaba disponible en repositorios públicos como GitHub, abrieron la puerta a que un atacante con acceso a nivel de red pudiera manipular esas comunicaciones. Con la versión 8.8.7 se restauró el uso de una autoridad de certificación reconocida (GlobalSign), pero durante un tiempo existió una ventana en la que la verificación criptográfica fue insuficiente.

La combinación de una infraestructura de hosting comprometida, un sistema de actualización que confiaba en exceso en la integridad del canal y una gestión mejorable de certificados y firmas digitales creó el escenario perfecto para un ataque de cadena de suministro. En lugar de infectar al usuario mediante descargas sospechosas, los atacantes se limitaron a esperar a que el propio programa hiciera su trabajo de actualización y obedeciera ciegamente las instrucciones manipuladas.

Quién está detrás del ataque y qué objetivos perseguía

Aunque la investigación sigue en marcha y los administradores de Notepad++ insisten en que el mecanismo técnico exacto utilizado para comprometer el proveedor de alojamiento aún no se ha podido reconstruir al detalle, el consenso entre los analistas apunta a un grupo de amenazas vinculado al Estado chino. Varios informes independientes han asociado la operación a un actor de tipo estatal, más interesado en el espionaje selectivo que en la monetización inmediata.

El desarrollador principal y el resto del equipo subrayan que la brecha no tuvo su origen en el código de Notepad++, sino exclusivamente en el proveedor de hosting donde residía la infraestructura de actualizaciones. Aun así, reconocen que los controles de verificación del actualizador eran insuficientes para hacer frente a un atacante con esa capacidad y que el diseño anterior facilitó el trabajo de quien ya había logrado acceso al entorno de alojamiento compartido.

Según las investigaciones, el periodo de compromiso abarcó desde junio de 2025 hasta el 2 de diciembre de 2025, con un punto clave el 10 de noviembre, fecha a partir de la cual se considera que la capacidad real de servir actualizaciones maliciosas se redujo drásticamente tras los primeros parches. Aun así, hasta la revocación total del acceso, los atacantes conservaron credenciales internas que les permitieron seguir moviéndose por los servicios del proveedor.

Los análisis de campo citados por Beaumont indican que los blancos principales del ataque incluían organizaciones de telecomunicaciones y de servicios financieros en el Este de Asia, dos sectores especialmente sensibles por el tipo de información que manejan y su papel estratégico. Para este tipo de actores, comprometer una herramienta de uso cotidiano como un editor de texto puede ser una manera sigilosa de entrar por la puerta de atrás en entornos críticos.

Aunque todavía no se han hecho públicos casos concretos en España o la Unión Europea que puedan atribuirse directamente a esta campaña, el uso masivo de Notepad++ entre desarrolladores, consultoras y empresas tecnológicas europeas ha disparado las preocupaciones. La posibilidad de que equipos ubicados en Europa pero con vínculos comerciales o técnicos con Asia se hayan visto afectados no puede descartarse por completo, y muchas organizaciones han iniciado revisiones forenses discretas.

Respuesta de Notepad++: migración, parches y nuevas versiones

Tras confirmar la magnitud del incidente, el equipo de desarrollo de Notepad++ adoptó varias medidas encadenadas para cerrar la brecha y recuperar la confianza de su comunidad. En primer lugar, trasladaron el sitio web oficial y la infraestructura asociada a un nuevo proveedor de alojamiento con prácticas de seguridad más estrictas, segmentación mejorada y mayores controles de acceso.

En paralelo, se lanzó la versión 8.8.9 de Notepad++, que introdujo mejoras específicas en el actualizador WinGUP. Entre ellas, un refuerzo de la verificación de firma y del certificado de los instaladores descargados durante el proceso de actualización. A partir de esta versión, si la comprobación criptográfica falla o el certificado no coincide con el esperado, la actualización se cancela de forma automática, en lugar de continuar como si nada.

De forma previa, la versión 8.8.8 ya había incluido cambios importantes destinados a proteger el proceso de actualización frente a intentos de secuestro similares, una pista temprana de que el equipo era consciente de la existencia de un ataque en curso. Posteriormente, los desarrolladores han recomendado de manera insistente a todos los usuarios que se aseguren de tener instalada la versión 8.9.1 o superior, descargada manualmente desde la web oficial, como mínimo para considerarse fuera del alcance del vector de ataque identificado.

En un comunicado dirigido a la comunidad, el responsable del proyecto reiteró su compromiso de publicar más detalles técnicos sobre el método exacto que se usó para secuestrar el tráfico del actualizador y redirigirlo a malware, en cuanto concluyan las investigaciones con los proveedores implicados y los equipos de respuesta a incidentes. El objetivo es que otros proyectos de software, en Europa y fuera de ella, puedan aprender de este caso y evitar reproducir los mismos errores de diseño e infraestructura.

La transparencia en este tipo de incidentes es especialmente relevante para el ecosistema de software libre y de código abierto, donde la confianza en los mantenedores y en la integridad de los canales de distribución es tan importante como la calidad del código. En un contexto donde muchas administraciones y empresas europeas apuestan por herramientas abiertas, un fallo de esta magnitud sirve de toque de atención generalizado.

Riesgos para usuarios y empresas en España y Europa

En el ámbito europeo, Notepad++ es una de las herramientas de edición de texto y código más utilizadas en entornos educativos, empresariales y administrativos. Se encuentra instalada en equipos de programadores, técnicos de sistemas, estudiantes de ingeniería y personal de soporte, lo que la convierte en un elemento muy presente en la base tecnológica de muchas organizaciones.

La principal preocupación para usuarios de España y el resto de Europa no es solo si han recibido o no una versión maliciosa concreta, sino el hecho de que un componente de confianza haya podido ser manipulado durante meses a través de su mecanismo de actualización. En escenarios de desarrollo de software, un editor comprometido puede servir como trampolín hacia herramientas de compilación, repositorios de código o incluso entornos de producción si el atacante decide escalar.

Para empresas con actividad internacional o con la infraestructura parcialmente alojada fuera de la UE, el riesgo se amplifica. Si bien los informes apuntan a un enfoque principal en el Este de Asia, organizaciones europeas con filiales, socios o clientes en esa región podrían haber estado expuestas de forma indirecta. Cualquier equipo que haya utilizado Notepad++ y se haya actualizado entre junio y diciembre de 2025 debería, al menos, figurar en la lista de sistemas a revisar.

Desde el punto de vista de la regulación europea en materia de protección de datos y ciberseguridad, un incidente de este tipo puede llegar a tener implicaciones importantes. En función de la información manejada por los equipos potencialmente afectados -por ejemplo, datos personales, diseños de sistemas críticos o propiedad intelectual-, podría ser necesario notificar a las autoridades nacionales de protección de datos o a los CSIRT nacionales.

Los expertos consultados por distintos medios recomiendan a las organizaciones europeas que incorporen casos como el de Notepad++ a sus ejercicios de simulación y análisis de riesgo, considerando el compromiso de herramientas de desarrollo y utilidades “de segundo plano” como un escenario plausible que debe contemplarse en los planes de respuesta a incidentes.

Qué pueden hacer ahora los usuarios y administradores

Más allá de la atención mediática y de la preocupación legítima, hay varias medidas prácticas que los usuarios individuales y los administradores de sistemas en empresas pueden adoptar para reducir el riesgo asociado a este incidente y a otros parecidos en el futuro.

La primera recomendación es sencilla pero clave: verificar la versión instalada de Notepad++ y asegurarse de que es, como mínimo, la 8.8.8 o 8.8.9, preferentemente la 8.9.1 o superior. Si el programa se ha estado actualizando de forma automática durante el periodo comprometido, es prudente descargar el instalador directamente desde la página oficial notepad-plus-plus.org y realizar una instalación limpia, eliminando trazas de versiones anteriores.

En entornos corporativos, se aconseja revisar los registros de red y de actualización para detectar posibles conexiones sospechosas hacia servidores no oficiales durante el periodo en cuestión. Cualquier anomalía debería ser motivo para ejecutar herramientas de análisis forense o antivirus de nivel empresarial, con especial atención a la detección de la puerta trasera Chrysalis u otros componentes relacionados.

Otra medida importante consiste en reforzar las políticas internas sobre descarga de software y actualizaciones. Aunque resulte tentador confiar en cualquier resultado de buscador, los investigadores han advertido de que los motores de búsqueda están plagados de anuncios y enlaces que llevan a versiones troyanizadas de Notepad++ y a extensiones maliciosas. Limitar las descargas al sitio oficial o a repositorios de confianza reduce de manera drástica la superficie de ataque.

Por último, conviene incorporar verificaciones adicionales en los procedimientos de despliegue de software, especialmente en organizaciones que utilizan herramientas como Notepad++ de forma masiva. Validar las firmas digitales, utilizar proxies de actualización internos controlados, auditar periódicamente las aplicaciones instaladas y segmentar los equipos de desarrollo del resto de la red son pasos que, aunque puedan parecer engorrosos, marcan la diferencia a la hora de frenar ataques de cadena de suministro.

Este incidente ha puesto sobre la mesa que incluso un editor gratuito y aparentemente inofensivo puede ser el eslabón débil por el que entre un atacante sofisticado. Revisar hábitos de actualización, endurecer la infraestructura y confiar solo en canales oficiales se vuelve ahora una prioridad para cualquier organización que quiera evitar sustos similares en el futuro.