AdScriptly.ioAdScriptly.io
news

China infectó Notepad++ 6 meses: 28M de descargas en riesgo

El grupo APT31 comprometió el servidor de descargas del editor de texto más popular del mundo. Telecomunicaciones y entidades financieras de Asia Oriental fueron los objetivos. Así funcionó el ataque más sigiloso de 2025.

Carlos VegaCarlos Vega-2 de febrero de 2026-15 min de lectura
Compartir:
Representación visual de un ciberataque supply chain con código y candados rotos

Foto de Clint Patterson en Unsplash

En resumen

Hackers del gobierno chino infectaron Notepad++ durante 6 meses sin que nadie lo detectara. Te explico fácil cómo funcionó este supply chain attack, quién está detrás y qué debes hacer ahora mismo para protegerte.

Te lo explico fácil: imagina que vas al supermercado, compras una botella de agua sellada de tu marca favorita, y resulta que alguien la envenenó antes de que llegara a la tienda. No en tu casa, no en el estante, sino directamente en la fábrica. Eso es exactamente lo que le pasó a Notepad++, el editor de texto que usan más de 28 millones de personas en todo el mundo.

El 2 de febrero de 2026, Don Ho, creador de Notepad++, confirmó públicamente lo que el investigador de seguridad Kevin Beaumont había descubierto dos meses antes: hackers vinculados al gobierno chino habían comprometido el servidor de descargas de Notepad++ durante seis meses. Desde junio hasta diciembre de 2025, cada persona que descargó el programa recibió, sin saberlo, una versión infectada con malware de espionaje.

Pero aquí viene el giro: no atacaron a todos. El malware era selectivo. Solo se activaba si detectaba que estabas en una empresa de telecomunicaciones o una entidad financiera de Asia Oriental. El resto de usuarios llevaba el veneno en el agua, pero nunca les afectó. Al menos, no directamente.

En este artículo voy a desglosar qué es un supply chain attack (y por qué es tan peligroso), cómo funcionó exactamente el ataque a Notepad++, quién está detrás, quiénes fueron las víctimas y, lo más importante, qué puedes hacer ahora mismo para protegerte.

Qué es un supply chain attack y por qué debería importarte

La analogía del agua envenenada

Imagina que quieres atacar a una persona específica. Tienes dos opciones: ir a su casa e intentar entrar (lo cual es arriesgado y difícil), o envenenar el suministro de agua de toda la ciudad sabiendo que esa persona beberá de él.

Un supply chain attack (ataque a la cadena de suministro) es exactamente eso, pero en el mundo digital. En lugar de atacar directamente a tu objetivo, comprometes algo que tu objetivo confía y usa regularmente: una actualización de software, una librería de código, un servidor de descargas.

El truco está en que el usuario no tiene forma de sospechar. No descargaste el programa de un sitio sospechoso. No hiciste clic en un enlace raro. Fuiste a la página oficial, descargaste la versión oficial y confiaste en que era seguro. Esa confianza es exactamente lo que explotan estos ataques.

Por qué son tan difíciles de detectar

Lo que nadie te cuenta es que los antivirus tradicionales están diseñados para detectar amenazas conocidas. Buscan firmas de malware, patrones sospechosos, comportamientos anómalos. Pero cuando el malware viene firmado digitalmente por el desarrollador original (porque el atacante comprometió el proceso de firma), tu antivirus ve un programa legítimo.

Es como si un inspector de alimentos revisara la botella de agua y dijera "sello intacto, marca auténtica, todo en orden". El veneno está dentro, pero el envase es perfecto.

El precedente de SolarWinds

Si este tipo de ataque te suena familiar, es porque ya lo vimos en 2020 con SolarWinds. Hackers rusos comprometieron el software Orion, usado por 18.000 organizaciones incluyendo el Departamento del Tesoro de EE.UU. y Microsoft. El ataque pasó desapercibido durante meses.

La diferencia con Notepad++ es el nivel de selectividad. SolarWinds fue un ataque masivo que afectó a miles de organizaciones. El ataque a Notepad++ fue quirúrgico: millones de personas infectadas, pero el malware solo se activaba para objetivos específicos. Es la diferencia entre una bomba y un rifle de francotirador.

Cómo funcionó el ataque a Notepad++: anatomía de una operación de espionaje

Paso 1: Comprometer el servidor de hosting (no el código)

Aquí está la parte ingeniosa del ataque: no tocaron el código fuente de Notepad++. Don Ho, el desarrollador, mantiene el código en GitHub y lo revisa constantemente. Un cambio malicioso habría sido detectado por la comunidad de desarrolladores.

En cambio, los atacantes comprometieron el servidor de hosting donde se alojan los archivos de descarga. Imagina que el código del programa es la receta de un medicamento. La receta está protegida en una caja fuerte. Pero los atacantes no fueron por la receta; fueron a la fábrica donde se producen las pastillas y las contaminaron ahí.

El servidor de descargas de Notepad++ está en un servicio de terceros. Los atacantes encontraron una vulnerabilidad (aún no revelada públicamente) y la explotaron para modificar los archivos ejecutables sin alterar el código fuente original.

Paso 2: Inyectar el malware Chrysalis

Una vez dentro del servidor, los atacantes reemplazaron el instalador legítimo de Notepad++ con una versión modificada que incluía un backdoor llamado Chrysalis. Este nombre no es aleatorio: en biología, la crisálida es la fase de transformación de una oruga en mariposa. El malware permanece latente hasta que las condiciones son las correctas.

Chrysalis es un loader (cargador) que funciona así:

  1. Se instala junto con Notepad++ de forma completamente invisible
  2. Permanece dormido en la mayoría de sistemas
  3. Comprueba periódicamente si el sistema cumple ciertos criterios (que veremos más adelante)
  4. Si los criterios se cumplen, descarga y ejecuta la siguiente fase del ataque

Lo que nadie te cuenta es que Chrysalis tiene tamaño mínimo (menos de 100KB) y no hace nada sospechoso hasta que recibe órdenes. Un análisis superficial del sistema no detectaría nada anómalo.

Paso 3: Desplegar Cobalt Strike solo en objetivos selectos

Aquí es donde el ataque se vuelve verdaderamente sofisticado. Chrysalis no desplegaba su carga final en cualquier ordenador. Antes de activarse, verificaba:

  • Rango de IP: ¿El ordenador pertenece a una red corporativa de telecomunicaciones o finanzas en Asia Oriental?
  • Dominio de Active Directory: ¿Está conectado a una infraestructura empresarial específica?
  • Software instalado: ¿Tiene herramientas que indicarían que es una máquina de desarrollo o administración?

Solo si todas las condiciones se cumplían, Chrysalis descargaba Cobalt Strike, una herramienta de pentesting legítima que los atacantes usan habitualmente para moverse lateralmente dentro de redes corporativas, exfiltrar datos y establecer persistencia a largo plazo.

Te lo explico con una analogía: imagina un ladrón que entra en un edificio de apartamentos. Tiene una llave maestra que abre todas las puertas, pero solo entra en los apartamentos donde detecta cajas fuertes grandes. Los demás apartamentos los ignora, aunque técnicamente podría entrar.

La línea temporal del ataque

Fecha Evento
Junio 2025 Los atacantes comprometen el servidor de hosting
Junio-Diciembre 2025 Usuarios descargan versiones infectadas sin saberlo
2 Diciembre 2025 Kevin Beaumont detecta anomalías y alerta a Don Ho
Diciembre 2025-Enero 2026 Investigación privada, limpieza del servidor
2 Febrero 2026 Don Ho confirma públicamente el ataque
2 Febrero 2026 Versión limpia v8.9.1 disponible

Quién está detrás: APT31 y el Ministerio de Seguridad de China

El perfil de APT31 (Violet Typhoon)

Los investigadores de seguridad atribuyen este ataque a APT31, también conocido como Violet Typhoon, Zirconium, Judgment Panda y Bronze Vinewood. Sí, los grupos de hackers tienen más alias que un personaje de telenovela.

APT significa Advanced Persistent Threat (Amenaza Persistente Avanzada). El número 31 es simplemente el identificador que le asignó la industria de ciberseguridad. Lo de "Violet Typhoon" es parte de la nomenclatura de Microsoft, que usa nombres de elementos naturales y colores para clasificar actores de amenazas.

¿Quiénes son realmente? Según múltiples agencias de inteligencia occidentales (incluyendo el FBI, MI5 y BfV alemán), APT31 opera bajo la dirección del Ministerio de Seguridad del Estado de China (MSS). No son hackers independientes ni criminales buscando dinero. Son operativos de inteligencia con recursos estatales.

Historial de ataques de APT31

Este no es su primer rodeo. APT31 tiene un historial extenso:

Año Objetivo Método
2020 Campaña presidencial de Biden Phishing dirigido
2021 Parlamento de Noruega Explotación de Microsoft Exchange
2021 Parlamento de Finlandia Compromiso de cuentas de email
2024 Ministerio de Defensa del Reino Unido Brecha de datos de personal militar
2024 Infraestructura crítica de EE.UU. Preposicionamiento para sabotaje
2025-2026 Notepad++ Supply chain attack

Lo que nadie te cuenta es que APT31 tiene dos modos de operación. Uno es el espionaje tradicional: robar secretos de gobiernos y empresas. El otro, más preocupante, es lo que se llama preposicionamiento: instalar backdoors en infraestructura crítica que podrían activarse en caso de conflicto. Es como plantar minas terrestres digitales.

Por qué atacaron Notepad++

Puede parecer extraño que un grupo de espionaje estatal ataque un simple editor de texto. Pero Notepad++ no es "simple". Es:

  • El editor de texto más popular del mundo después de los integrados en los sistemas operativos
  • Usado extensivamente por desarrolladores y administradores de sistemas
  • Gratuito y de código abierto, lo que genera confianza
  • Especialmente popular en Asia, donde tiene una base de usuarios enorme

Si quieres espiar a empresas de telecomunicaciones y finanzas, ¿qué mejor vector que un programa que sus administradores de sistemas usan a diario? Es el caballo de Troya perfecto.

Quiénes fueron las víctimas: un ataque quirúrgico

El perfil de los objetivos

El malware Chrysalis estaba programado para activarse solo en sistemas que cumplían criterios muy específicos:

  1. Sector: Telecomunicaciones y servicios financieros
  2. Geografía: Asia Oriental (principalmente China continental, Hong Kong, Taiwán, Corea del Sur y Japón)
  3. Tipo de sistema: Servidores y estaciones de trabajo de administración

¿Por qué estos sectores? Las telecomunicaciones controlan las comunicaciones de un país. Si tienes acceso a los sistemas internos de un operador de telefonía, puedes interceptar llamadas, mensajes y datos de millones de personas. Las entidades financieras, por su parte, manejan información económica sensible que puede usarse para espionaje industrial o incluso manipulación de mercados.

El enfoque geopolítico es evidente. China tiene intereses estratégicos en todos estos países, ya sea por disputas territoriales (Taiwán), competencia económica (Corea del Sur, Japón) o vigilancia interna (Hong Kong).

El número de víctimas reales

Aquí es donde la historia se complica. Notepad++ tiene más de 28 millones de descargas solo en los últimos años. Durante los seis meses que el servidor estuvo comprometido, potencialmente millones de personas descargaron versiones infectadas.

Pero —y este es un "pero" importante— el malware solo se activaba en objetivos específicos. Eso significa que la mayoría de usuarios tienen Chrysalis dormido en sus sistemas, pero nunca se activó.

¿Es esto bueno o malo? Depende de cómo lo mires:

  • Bueno: Si no eres objetivo, el malware nunca hizo nada en tu sistema
  • Malo: Tienes código malicioso instalado que podría ser reactivado o reprogramado

Don Ho no ha revelado el número exacto de víctimas donde el ataque se completó, probablemente porque la investigación sigue en curso y hay implicaciones legales. Lo que sí sabemos es que varias empresas de telecomunicaciones asiáticas reportaron intrusiones que ahora se están vinculando a este ataque.

Cómo protegerte: guía práctica paso a paso

Si usas Notepad++

Paso 1: Verifica tu versión actual

  1. Abre Notepad++
  2. Ve a ? (Ayuda) > Acerca de Notepad++
  3. Comprueba el número de versión

Si tienes cualquier versión anterior a v8.9.1: Debes actualizar inmediatamente.

Paso 2: Actualiza a la versión segura

  1. Ve a https://notepad-plus-plus.org/downloads/
  2. Descarga la versión v8.9.1 o superior
  3. Desinstala la versión anterior completamente
  4. Instala la nueva versión

Importante: No uses el actualizador integrado de Notepad++ para esta actualización específica. Descarga el instalador nuevo directamente.

Paso 3: Ejecuta un análisis de seguridad

Aunque no hayas sido objetivo directo, es buena práctica ejecutar un análisis completo de tu sistema. Si quieres ir más allá del antivirus básico, consulta nuestra guía de mejores herramientas de ciberseguridad 2026 donde analizamos soluciones EDR que detectan este tipo de amenazas.

Si administras sistemas empresariales

La cosa se pone más seria si eres responsable de la seguridad de una organización:

1. Inventario de software

Haz un inventario de todos los sistemas donde esté instalado Notepad++. Herramientas como SCCM, Intune o cualquier solución de gestión de activos pueden ayudarte.

2. Busca indicadores de compromiso (IoCs)

Aunque Don Ho no ha publicado IoCs específicos (probablemente por la investigación en curso), puedes buscar:

  • Conexiones salientes inusuales desde sistemas con Notepad++ instalado
  • Archivos DLL no reconocidos en el directorio de instalación
  • Procesos hijo sospechosos lanzados desde notepad++.exe

3. Actualización masiva

Despliega la versión v8.9.1 a todos los sistemas de forma centralizada. No confíes en que los usuarios actualicen por su cuenta.

4. Monitorización reforzada

Si tu organización está en el sector de telecomunicaciones o finanzas en Asia Oriental, considera que podrías haber sido objetivo específico. Intensifica la monitorización de red y endpoints durante las próximas semanas.

Recomendaciones generales contra supply chain attacks

Este ataque a Notepad++ es un recordatorio de que incluso el software legítimo puede ser comprometido. Estas son prácticas que deberías adoptar:

Verifica los hashes de descarga: Muchos proyectos de software publican checksums (SHA256) de sus archivos. Compara el hash del archivo descargado con el oficial.

Usa fuentes oficiales: Aunque en este caso el ataque vino de la fuente oficial, evita descargar software de mirrors no oficiales o sitios de terceros.

Monitoriza el tráfico de red: Herramientas de detección de anomalías pueden identificar cuando un programa aparentemente legítimo empieza a comunicarse con servidores sospechosos.

Segmenta tu red: Si un sistema se compromete, la segmentación evita que los atacantes se muevan lateralmente a sistemas más críticos.

Mantén copias de seguridad offline: En caso de compromiso grave, poder restaurar desde un backup limpio es tu última línea de defensa.

Por qué esto importa: el contexto geopolítico

La guerra fría digital entre China y Occidente

El ataque a Notepad++ no existe en un vacío. Es parte de una escalada continua de operaciones cibernéticas entre grandes potencias. En los últimos años hemos visto:

  • Volt Typhoon: Otro grupo chino preposicionando malware en infraestructura crítica de EE.UU.
  • Salt Typhoon: Campaña masiva contra empresas de telecomunicaciones estadounidenses
  • Sanciones cruzadas: EE.UU. sancionando a empresas chinas de ciberseguridad; China prohibiendo productos estadounidenses

Lo que nadie te cuenta es que estamos en una carrera armamentística digital. Los supply chain attacks son el equivalente a las armas biológicas: difíciles de detectar, con efecto multiplicador, y que explotan la confianza en sistemas aparentemente seguros.

El problema específico del software open source

Notepad++ es software de código abierto mantenido principalmente por una persona: Don Ho. No tiene el presupuesto de seguridad de Microsoft ni el equipo de respuesta de Google. Y sin embargo, es usado por millones de personas, incluyendo en infraestructura crítica.

Este ataque expone una vulnerabilidad sistémica: la infraestructura digital del mundo depende de proyectos mantenidos por voluntarios con recursos limitados. El código puede ser revisado públicamente (lo cual es bueno), pero la infraestructura de distribución (servidores, firmas digitales, pipelines de CI/CD) es un punto único de fallo.

Después de Log4Shell en 2021, hubo mucha conversación sobre financiar mejor el software open source. Tres años después, seguimos viendo ataques como este. La conversación no se ha traducido en acción suficiente.

Implicaciones para usuarios individuales

Quizás pienses: "Yo no soy una empresa de telecomunicaciones asiática, esto no me afecta". Y técnicamente tienes razón: el malware no se activó en tu sistema.

Pero considera esto:

  1. Hoy no eras objetivo, mañana podrías serlo: Los criterios de activación pueden cambiar. El código malicioso está ahí.

  2. Efecto dominó: Si tu empleador o clientes fueron comprometidos a través de Notepad++, tu información podría estar expuesta indirectamente.

  3. Precedente peligroso: Cada supply chain attack exitoso demuestra a otros atacantes que el método funciona. Veremos más.

  4. Erosión de la confianza: Si no puedes confiar en el software que descargas de fuentes oficiales, ¿en qué puedes confiar?

Este caso se suma a una tendencia preocupante que hemos documentado en otros artículos, como el de extensiones de Chrome robando conversaciones de IA o la brecha de datos de Crunchbase. Los vectores de ataque se multiplican y la superficie vulnerable crece cada día.

FAQs: Preguntas frecuentes sobre el hackeo de Notepad++

¿Qué versiones de Notepad++ están afectadas?

Todas las versiones descargadas entre junio y diciembre de 2025 están potencialmente comprometidas. Don Ho no ha especificado números de versión exactos porque el problema no estaba en el código sino en el servidor de descargas. La versión segura confirmada es v8.9.1, publicada después de limpiar la infraestructura. Si tienes cualquier versión anterior y la descargaste en ese período, deberías actualizar.

¿Cómo sé si el malware se activó en mi ordenador?

Si no trabajas en telecomunicaciones o finanzas en Asia Oriental, es muy probable que el malware permanezca dormido en tu sistema. Sin embargo, la única forma de estar seguro es ejecutar un análisis con herramientas EDR avanzadas que detecten el loader Chrysalis. Los antivirus tradicionales pueden no detectarlo porque el código no hace nada sospechoso hasta que se activa.

¿Por qué no hay indicadores de compromiso (IoCs) públicos?

Don Ho y los investigadores de seguridad han optado por no publicar IoCs detallados todavía. Esto probablemente se debe a que la investigación sigue en curso, hay posibles implicaciones legales, y publicar los IoCs podría ayudar a los atacantes a modificar su malware para evadir detección. Es una práctica común en incidentes de seguridad graves retener cierta información técnica temporalmente.

¿Es seguro seguir usando Notepad++?

Sí, siempre que uses la versión v8.9.1 o superior descargada después del 2 de febrero de 2026. El servidor ha sido limpiado, se han implementado medidas de seguridad adicionales, y Don Ho está trabajando con expertos en ciberseguridad para prevenir futuros incidentes. Notepad++ sigue siendo un excelente editor de texto; este incidente no invalida la calidad del software en sí.

¿Puede pasarme lo mismo con otro software?

Absolutamente. Los supply chain attacks pueden afectar a cualquier software: desde editores de texto hasta navegadores, desde librerías de programación hasta actualizaciones del sistema operativo. La mejor defensa es mantener una postura de seguridad proactiva: verificar hashes cuando sea posible, usar herramientas de detección de comportamiento anómalo, segmentar redes y mantener backups actualizados. Nadie es inmune.

Conclusión: el agua que bebemos ya no es segura

El hackeo de Notepad++ no es solo una historia sobre un editor de texto comprometido. Es una advertencia sobre la fragilidad de la infraestructura digital en la que todos dependemos.

Durante seis meses, millones de personas descargaron software envenenado de una fuente oficial, confiando en que era seguro. Los atacantes no necesitaron engañarlos con emails de phishing ni explotar vulnerabilidades en sus ordenadores. Simplemente envenenaron el pozo.

Lo que me preocupa no es este ataque específico —las víctimas directas fueron limitadas y el daño está siendo contenido—. Lo que me preocupa es lo que representa: un modelo de ataque cada vez más sofisticado donde la confianza misma es el vector de explotación.

Cuando no puedes confiar en el software que descargas de la página oficial del desarrollador, la seguridad deja de ser un problema técnico y se convierte en un problema filosófico. ¿En qué podemos confiar? ¿Cómo verificamos lo que es verdadero?

Por ahora, las acciones son claras: actualiza Notepad++ a v8.9.1, ejecuta análisis de seguridad, y mantente alerta. Pero a largo plazo, como industria y como sociedad, necesitamos resolver un problema más profundo: cómo proteger la cadena de suministro digital de la que todos dependemos.

El agua que bebemos ya no viene sellada de fábrica. Y eso debería preocuparnos a todos.

¿Te ha sido útil?

Fuentes y Referencias

Las fuentes utilizadas para elaborar este artículo

  1. 1

    Notepad++ says Chinese government hackers hijacked its software updates for months

    TechCrunch2 feb 2026
  2. 2

    Notepad++ update feature hijacked by Chinese state hackers for months

    BleepingComputer2 feb 2026
  3. 3

    Notepad++ Official Update Mechanism Hijacked by APT31

    The Hacker News2 feb 2026
  4. 4

    Hijacked Incident Info Update - Official Statement

    Notepad++2 feb 2026
  5. 5

    The Chrysalis Backdoor: Deep Dive into Lotus Blossom's Toolkit

    Rapid72 feb 2026
  6. 6

    Notepad++ Supply Chain Hack Conducted by China via Hosting Provider

    SecurityWeek2 feb 2026
  7. 7

    Notepad++ patches update chain after targeted compromise

    The Register2 feb 2026
  8. 8

    How state-sponsored attackers hijacked Notepad++ updates

    Help Net Security2 feb 2026
  9. 9

    APT31 / Violet Typhoon - Threat Group Profile

    MITRE ATT&CK2 feb 2026
  10. 10

    Small numbers of Notepad++ users reporting security woes

    DoublePulsar (Kevin Beaumont)2 dic 2025

Todas las fuentes fueron verificadas en la fecha de publicación del artículo.

Carlos Vega
Escrito por

Carlos Vega

Divulgador tecnológico especializado en IA aplicada. Hace accesible lo complejo.

#ciberseguridad#supply chain attack#china#notepad++#malware#APT31#espionaje

Artículos Relacionados

Banderas de la Unión Europea frente al edificio Berlaymont de la Comisión Europea en Bruselas
news
13 min lectura-3 feb 2026-Elena Durán

Europa vs Musk: redada en X, multas y cárcel para CEOs tech

En un solo día, Francia asaltó las oficinas de X en París, España anunció responsabilidad penal para CEOs de plataformas y la tensión entre Europa y Elon Musk alcanzó su punto más crítico. Esto es todo lo que necesitas saber sobre la mayor ofensiva regulatoria contra las redes sociales en la historia.

MacBook Pro sobre una mesa representando los nuevos modelos con chip M5 Pro y M5 Max
news
13 min lectura-3 feb 2026-Marta Reyes

MacBook Pro M5 Pro y Max: lanzamiento inminente esta semana

Los datos son claros: los MacBook Pro con M5 Pro y M5 Max se lanzan en días. Apple ya tiene unidades en almacenes listos para envío. GPU un 34% más rápida que el M4 Max, rendimiento de IA 3.5x superior, Thunderbolt 5 y Wi-Fi 7. Analizamos specs, precios y si merece la pena actualizar.

Pantalla de terminal con código de seguridad y líneas de datos
news
10 min lectura-3 feb 2026-Marta Reyes

Reprompt: un clic roba todos tus datos de Microsoft Copilot

Los datos son claros: bastaba un clic en un enlace legítimo de Microsoft para que un atacante robara tu ubicación, archivos recientes, planes de viaje y conversaciones completas con Copilot. El ataque se llama Reprompt, encadena tres técnicas de inyección de prompt y funcionaba incluso después de cerrar el chat. Afectaba a 33 millones de usuarios.