El “caballo de Troya” de los desarrolladores: Hackers usan Notepad++ para infiltrar gobiernos y bancos

Ciudad de México, 19 de febrero de 2026.

Un ataque silencioso a las actualizaciones de un software ampliamente utilizado por desarrolladores y equipos de tecnología permitió a ciberdelincuentes infiltrarse en redes corporativas y gubernamentales sin levantar sospechas.

Investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT) descubrieron que los atacantes comprometieron la cadena de suministro de Notepad++, un popular editor de texto y código presente en millones de computadoras. Usando su sistema de actualización, distribuyeron malware camuflado como parches legítimos.

El equipo de desarrollo de la herramienta informó que la infraestructura de actualización fue vulnerada tras un incidente que afectó a su proveedor de hosting, permitiendo a los atacantes intervenir el mecanismo oficial.

Un ataque en fases invisibles

El impacto de esta brecha fue mucho mayor de lo que se conocía públicamente. Kaspersky identificó múltiples cadenas de ataque ocultas que operaron entre julio y octubre. Estas campañas afectaron a organizaciones gubernamentales, instituciones financieras y proveedores de servicios de TI en varias regiones, incluyendo América Latina.

Para evitar ser detectados, los atacantes cambiaron completamente su infraestructura en cada fase: modificaron servidores, dominios, archivos y métodos de ejecución. Esto les permitió evadir los controles tradicionales y permanecer dentro de las redes durante meses. De hecho, lo que se había reportado públicamente solo correspondía a la fase final de la campaña, dejando posibles infecciones previas sin detectar en muchas organizaciones.

El peligro de la confianza ciega

Este tipo de compromiso es especialmente peligroso porque, en lugar de que la víctima descargue un archivo sospechoso, el malware llega a través de un canal en el que confía, facilitando el acceso inicial para espionaje o robo de información.

“Cuando un atacante compromete la actualización de una herramienta que una organización usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin generar sospechas… Por eso las organizaciones ya no pueden depender solo de listas de indicadores conocidos, necesitan visibilidad y detección continua”, señaló Leandro Cuozzo, analista de Seguridad en GReAT para América Latina en Kaspersky.

Para evitar ser víctima de este tipo de campañas, Kaspersky (cuyas soluciones bloquearon todos los ataques identificados) recomienda:

• Fortalecer la gestión de la cadena de suministro: Validar proveedores, monitorear actualizaciones y segmentar redes para que una sola herramienta no dé acceso total.
• Adoptar detección basada en comportamiento: Contar con monitoreo continuo que identifique actividades anómalas en tiempo real, ya que los atacantes cambian constantemente su infraestructura.
• Plataformas integradas: Usar soluciones como Kaspersky Next XDR Optimum, que combinan prevención y respuesta para contener ataques sofisticados antes de que escalen.