Investigadores del Global Research and Analysis Team (GReAT), el equipo de investigación de Kaspersky, detectaron que el sistema de actualizaciones del editor de texto Notepad++ fue intervenido y usado para distribuir malware, en una campaña que operó entre julio y octubre y alcanzó a gobiernos, instituciones financieras, proveedores de servicios de TI y usuarios en América Latina y otras regiones.
Según Kaspersky y el propio equipo de desarrollo de Notepad++, la intrusión se produjo luego de un incidente que afectó al proveedor de hosting encargado de la infraestructura de actualización. Esa intervención permitió a los atacantes reemplazar o entregar parches falsos a través del canal legítimo de actualizaciones, lo que facilita la instalación inicial del malware sin que el usuario descargue un archivo sospechoso desde una fuente externa.
Los investigadores señalan que los atacantes no usaron una única técnica. Cambiaron repetidamente servidores, dominios, archivos y métodos de ejecución para evadir detecciones. Esto significa que lo que se había reportado públicamente correspondía en buena parte a la fase final de la campaña, y que organizaciones que hicieron búsquedas rápidas por los indicadores conocidos podrían no haber encontrado infecciones previas que usaron señales completamente distintas.
Este tipo de ataque compromete la llamada cadena de suministro de software, es decir, los mecanismos que entregan actualizaciones y parches desde el proveedor hasta tu equipo. Es parecido a que un cartero legítimo entregue un paquete envenenado: la confianza en el remitente reduce las sospechas y facilita el acceso inicial. El riesgo incluye espionaje, robo de información y movimientos laterales dentro de redes críticas.
Kaspersky afirma que sus soluciones bloquearon las variantes identificadas y publicó un análisis técnico junto con indicadores de compromiso, es decir, señales técnicas que ayudan a identificar sistemas infectados. El equipo del proyecto Notepad++ confirmó la vulneración de su proveedor de hosting y ha ido restaurando su infraestructura. No obstante, la simple disponibilidad de un parche “limpio” no garantiza que una red no haya sido ya comprometida en etapas previas con indicadores diferentes.
Qué deben hacer empresas y organizaciones en Chile: asuman que una revisión superficial puede no ser suficiente. Revisen logs de actualizaciones y conexiones salientes desde julio en adelante, comparen hashes y firmas de los instaladores con las fuentes oficiales, y busquen indicadores de compromiso nuevos y antiguos. Aíslan equipos sospechosos, rotan credenciales y fuerzan autenticación multifactor en accesos críticos. Contacten al equipo de respuesta a incidentes informáticos de su organización y al CSIRT nacional, el equipo de respuesta a incidentes informáticos del país.
Para equipos de TI y proveedores, las recomendaciones son técnicas y prácticas: validar firmas criptográficas de los instaladores, usar repositorios internos o actualizaciones controladas, aplicar segmentación de red para limitar movimientos laterales, y priorizar análisis forense profundo cuando la cadena de suministro se ha visto comprometida. Para usuarios finales, reinstalar desde fuentes oficiales y verificar firmas es mejor que confiar en una simple actualización automática si no se está seguro.
La lección es que la confianza en una actualización no es garantía de seguridad. Las organizaciones chilenas, desde ministerios y servicios públicos hasta bancos y proveedores de TI, deberían revisar con urgencia si usaron Notepad++ en entornos sensibles y, en caso afirmativo, planificar auditorías forenses. A mediano plazo, los desarrolladores y proveedores deben fortalecer la seguridad de sus procesos de build y distribución, incluyendo firmas robustas y controles por terceros, para reducir la probabilidad de que un acceso a un proveedor de hosting abra la puerta a una campaña de espionaje sostenida.
