Lima, febrero de 2026. Un ataque encubierto a la cadena de suministro de un software de uso diario permitió a ciberdelincuentes infiltrarse durante meses en redes de gobiernos, bancos y empresas, sin levantar alertas inmediatas. La investigación fue revelada por expertos de Kaspersky, quienes identificaron que el sistema de actualizaciones de Notepad++, uno de los editores de texto y código más utilizados a nivel global, fue manipulado para distribuir malware camuflado como parches legítimos.
El hallazgo confirma que los ataques a la cadena de suministro digital continúan siendo una de las tácticas más efectivas del cibercrimen moderno, ya que explotan la confianza que usuarios y organizaciones depositan en herramientas que utilizan a diario para su operación.
Un ataque invisible desde una fuente confiable
De acuerdo con los investigadores del Global Research and Analysis Team (GReAT), los atacantes lograron comprometer la infraestructura de actualización oficial de Notepad++ tras un incidente que afectó a su proveedor de hosting. Esto les permitió intervenir el mecanismo legítimo de distribución y enviar archivos maliciosos que aparentaban ser actualizaciones auténticas del software.
El propio equipo de desarrollo de Notepad++ confirmó posteriormente la vulneración de su infraestructura. Sin embargo, el impacto real fue significativamente mayor a lo que se conoció inicialmente. La investigación de Kaspersky reveló múltiples cadenas de ataque ocultas que operaron entre julio y octubre, afectando a organizaciones gubernamentales, instituciones financieras, proveedores de servicios de TI y usuarios corporativos en diversas regiones, incluyendo América Latina.
Infraestructura cambiante y persistencia prolongada
Uno de los aspectos más preocupantes del ataque fue su alto nivel de sofisticación. En cada fase de la campaña, los atacantes modificaron por completo su infraestructura, incluyendo servidores, dominios, archivos maliciosos y métodos de ejecución. Esta rotación constante les permitió evadir los controles de seguridad tradicionales y permanecer dentro de las redes comprometidas durante largos periodos.
De hecho, lo que se había reportado públicamente correspondía solo a la fase final del ataque. Esto implica que muchas organizaciones pudieron haber revisado sus sistemas utilizando indicadores conocidos, sin detectar infecciones anteriores que empleaban indicadores de compromiso completamente distintos.
La cadena de suministro, una puerta abierta al espionaje
Este tipo de compromiso resulta especialmente peligroso porque elimina la principal barrera psicológica de alerta: la sospecha del usuario. En lugar de descargar un archivo desconocido o interactuar con un enlace malicioso, el malware llega a través de un canal legítimo y confiable, como una actualización de software oficial.
“Cuando un atacante compromete la actualización de una herramienta que una organización usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin generar sospechas. La empresa acepta el archivo como legítimo y baja la guardia. Eso convierte a la cadena de suministro en una de las rutas más efectivas para el espionaje y el robo de datos hoy en día”, explicó Leandro Cuozzo, analista de Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
El especialista añadió que, frente a este escenario, las organizaciones ya no pueden depender únicamente de listas de indicadores conocidos, sino que necesitan visibilidad continua y detección activa dentro de sus redes.
Respuesta y contención del ataque
Durante la investigación, las soluciones de Kaspersky bloquearon todos los ataques identificados, evitando que las amenazas se expandieran o escalaran hacia sistemas críticos. Además, el equipo publicó nuevos indicadores de compromiso y un análisis técnico completo para ayudar a las organizaciones a evaluar posibles exposiciones previas que podrían haber pasado desapercibidas.
Este trabajo de divulgación técnica busca reducir el impacto residual del ataque y fortalecer la capacidad de respuesta de los equipos de seguridad frente a campañas similares.
Recomendaciones clave para las empresas
Para reducir el riesgo de convertirse en víctima de este tipo de ataques silenciosos, los expertos de Kaspersky recomiendan adoptar un enfoque integral de ciberseguridad, que incluya:
- Fortalecer la gestión de la cadena de suministro digital
Validar proveedores, monitorear de forma continua las actualizaciones de software, mantener inventarios claros de activos y segmentar las redes para evitar que una sola herramienta comprometida otorgue acceso total a la infraestructura. - Adoptar detección basada en comportamiento, no solo en firmas
Dado que los atacantes cambian constantemente su infraestructura, es clave contar con monitoreo continuo que identifique actividades anómalas, movimientos laterales o escalamiento de privilegios en tiempo real. - Implementar plataformas integradas de protección y respuesta
Soluciones avanzadas de detección y respuesta extendida (XDR) permiten descubrir amenazas desconocidas dentro de la red y contener ataques sofisticados de cadena de suministro antes de que se propaguen.
Una alerta para el ecosistema digital
El caso de Notepad++ evidencia que incluso herramientas ampliamente confiables pueden convertirse en vectores de ataque cuando la cadena de suministro es vulnerada. En un entorno donde la transformación digital avanza aceleradamente, asegurar los procesos de actualización y fortalecer la detección interna se vuelve tan crítico como proteger el perímetro.
Para conocer más detalles técnicos sobre esta investigación, Kaspersky ha publicado el análisis completo en Securelist, así como recomendaciones adicionales para reforzar la seguridad empresarial frente a amenazas avanzadas.