Ataque a Notepad++ infiltró gobiernos y bancos durante meses

Lo que parecía una actualización rutinaria terminó convirtiéndose en una puerta de entrada silenciosa para el espionaje digital. Un ataque a la cadena de suministro de Notepad++ permitió a ciberdelincuentes infiltrarse en redes corporativas y gubernamentales durante meses sin levantar sospechas.

La alerta fue emitida por el equipo Global Research and Analysis Team (GReAT) de Kaspersky, que identificó múltiples fases ocultas de la campaña entre julio y octubre de 2025.

Un ataque que explotó la confianza

El incidente comprometió el sistema de actualizaciones del popular editor de texto y código, presente en millones de dispositivos. Los atacantes intervinieron el mecanismo oficial de distribución para enviar malware camuflado como parches legítimos.

El riesgo no estuvo en un archivo sospechoso, sino en la confianza en el proveedor.

Según la investigación, la infraestructura fue vulnerada tras un incidente que afectó al proveedor de hosting del software, lo que permitió intervenir el sistema de actualización.

Esto facilitó el acceso inicial a organizaciones gubernamentales, entidades financieras y proveedores de servicios de TI, incluyendo casos en América Latina.

Meses dentro de las redes sin ser detectados

Uno de los hallazgos más críticos es que lo reportado públicamente correspondía solo a la fase final del ataque. Kaspersky identificó múltiples cadenas de infección previas con infraestructura completamente distinta —servidores, dominios y métodos de ejecución cambiaban constantemente—, lo que permitió evadir controles tradicionales.

Muchas organizaciones pudieron revisar sus sistemas sin detectar infecciones anteriores porque los indicadores ya no coincidían.

“Cuando un atacante compromete la actualización de una herramienta que una organización usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin generar sospechas”, explicó Leandro Cuozzo, analista de Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Agregó que depender exclusivamente de listas de indicadores conocidos ya no es suficiente: “Las organizaciones necesitan visibilidad y detección continua dentro de sus redes”.

La cadena de suministro como nuevo frente crítico

Este tipo de ataque evidencia un cambio estructural en el panorama de riesgos. En lugar de vulnerar directamente a una entidad específica, los atacantes comprometen un proveedor ampliamente utilizado para escalar su alcance.

La cadena de suministro digital se consolida como uno de los vectores más efectivos para el espionaje y el robo de información.

Para las organizaciones, esto implica:

• Revisar permanentemente la gestión de proveedores tecnológicos.

• Adoptar detección basada en comportamiento, no solo en firmas conocidas.

• Implementar monitoreo continuo que identifique movimientos laterales y escalamiento de privilegios en tiempo real.

Kaspersky publicó nuevos indicadores de compromiso y un análisis técnico detallado para que las organizaciones revisen posibles exposiciones previas.