Informes revelan que el actualizador de Notepad++ fue pirateado para “secuestrar” el tráfico y dirigir a los usuarios a malware. Tras realizar una investigación con un equipo de expertos, el desarrollador Don Hon llegó a la conclusión de que la vulnerabilidad general abarcó desde junio hasta el 2 de diciembre de 2025, y se estima que los ataques contaron con el patrocinio del Estado Chino.
Notepad++ es un editor gratuito de texto y código disponible para Windows que es muy utilizado en el sector de la programación gracias a su diseño intuitivo, limpio y fácil de comprender. Debido a su prominencia en la industria de la computación, recibe actualizaciones constantes que agregan nuevas características y corrigen errores.
Sin embargo, este software ahora está en el ojo del huracán después de que se detectara que fue blanco de un ciberataque.
Más de Hacker
Usuarios de Notepad++ estuvieron en riesgo
A mediados de diciembre de 2025, el autor de la aplicación señaló que, tras realizar una investigación, se descubrió que el tráfico de WinGUp, el actualizador oficial del programa, se redirigía ocasionalmente a servidores maliciosos, lo que provocaba que los usuarios descargaran archivos infectados y malware.
Ese informe llegó poco después de que el desarrollador lanzara la versión 8.8.9 de Notepad++, que agregó una mejora de seguridad para abordar esa falla. Ahora bien, ¿cómo se originó este problema? Según el reporte, el exploit surgió en la forma en que el actualizador verificaba la integridad y autenticidad del archivo descargado.
Básicamente, la vulnerabilidad permitía a un atacante engañar a la herramienta para que descargara un archivo diferente en lugar del binario legítimo, todo esto al interceptar el tráfico de red entre el cliente del actualizador y el servidor,
Según el desarrollador Don Hon, la vulneración se produjo a nivel del proveedor de alojamiento y no en el propio código de la aplicación. La nueva versión que se lanzó a finales del año pasado refuerza la verificación de la firma y el certificado de los instaladores descargados durante el proceso de actualización. Esto permitirá que, si la verificación falla, la actualización se cancele automáticamente.
En el comunicado inicial, el responsable de Notepad++ prometió que compartiría detalles relacionados sobre el método exacto que se utilizó para secuestrar el tráfico del instalador y redirigir a los usuarios a malware tan pronto se descubriera. Ahora, un puñado de semanas después, se reveló nueva información sobre este caso en curso.
¿Quién es el responsable del hackeo?
En otra publicación, los administradores de Notepad++ remarcan que el mecanismo técnico exacto que se utilizó para este hackeo aún es desconocido y sigue bajo investigación, aunque se reafirma una vez más que la vulnerabilidad se produjo a nivel del proveedor de alojamiento.
Varios investigadores independientes de seguridad señalan que el posible responsable de esta amenaza cibernética es un grupo patrocinado por el Estado Chino, lo que podría explicar por qué se realizaron ataques altamente selectivos.
El analista Kevin Beaumont reveló que la vulnerabilidad era explotada por actores de amenazas en China para secuestrar redes y engañar a sus objetivos para que descargaran malware. Los ataques se dirigieron a organizaciones de telecomunicaciones y servicios financieros en el este de Asia.
De acuerdo con las investigaciones, el incidente comenzó en junio de 2025, más de 6 meses antes de que se revelara por primera vez. Parece que el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025, aunque los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de ese año.
Con base en esa información, el desarrollador Don Hon llegó a la conclusión que el periodo de compromiso general abarcó desde junio hasta el 2 de diciembre de 2025, cuando se terminó todo el acceso de los atacantes de forma definitiva. La amenaza real habría cesado poco antes, el 10 de noviembre.
Para solucionar este problema de seguridad, el sitio web de Notepad++ se migró a un nuevo proveedor de alojamiento con prácticas de seguridad más robustas. Además, el actualizador WinGup se mejoró con la versión 8.8.9 para verificar tanto el certificado como la firma del instalador descargado.
“Es una falla de seguridad fatal”: las cuentas de PlayStation pueden ser hackeadas fácilmente, incluso si están protegidas con claves de acceso y verificación de 2 pasos→ Creadores de ChatGPT confirman hackeo que filtró nombres de usuario, correos y otros datos→
