Un ataque a la cadena de suministro de Notepad++ permitió a ciberdelincuentes distribuir malware a través de actualizaciones legítimas. Descubierto por Kaspersky, el incidente comprometió la infraestructura del proveedor, facilitando el acceso a redes corporativas. Se recomienda fortalecer la gestión de la cadena de suministro y adoptar detección basada en comportamiento.
Santo Domingo.-
Un ataque a la cadena de suministro de Notepad++, uno de los editores de texto y código más utilizados por desarrolladores y equipos de TI, permitió que ciberdelincuentes distribuyeran malware a través del sistema oficial de actualizaciones del programa. El incidente, descubierto por el equipo Global Research and Analysis Team (GReAT) de Kaspersky, reveló que los atacantes comprometieron la infraestructura de actualización tras vulnerar al proveedor de hosting del proyecto, lo que les permitió enviar archivos maliciosos camuflados como parches legítimos a millones de usuarios. Según el equipo de desarrollo, la intervención ocurrió directamente en el mecanismo de distribución, lo que amplificó el impacto más allá de lo que inicialmente se había informado.
La investigación determinó que la campaña maliciosa operó en varias fases entre julio y octubre, cada una con infraestructura, dominios, archivos y métodos de ejecución completamente distintos. Este enfoque permitió a los atacantes evadir controles tradicionales y permanecer dentro de redes corporativas y gubernamentales durante meses sin ser detectados. Lo que se conocía públicamente correspondía únicamente a la etapa final del ataque, lo que implica que muchas organizaciones pudieron haber revisado sus sistemas sin identificar infecciones previas que utilizaban indicadores diferentes.
Este tipo de ataque es especialmente peligroso porque explota la confianza depositada en las actualizaciones de software. En lugar de que la víctima descargue un archivo sospechoso, el malware llega a través de un canal legítimo, lo que facilita el acceso inicial y abre la puerta a espionaje, robo de información o movimientos laterales hacia sistemas críticos. Según explicó Leandro Cuozzo, analista de Seguridad en Kaspersky para América Latina, cuando un atacante compromete la actualización de una herramienta usada a diario, aprovecha la confianza en el proveedor para infiltrarse sin generar sospechas, lo que obliga a las organizaciones a contar con visibilidad continua dentro de sus redes y no depender únicamente de indicadores conocidos.
Kaspersky informó que sus soluciones bloquearon todos los ataques identificados durante la investigación y publicó nuevos indicadores de compromiso junto con un análisis técnico detallado para ayudar a las organizaciones a revisar posibles exposiciones anteriores. Los expertos recomiendan fortalecer la gestión de la cadena de suministro digital mediante la validación de proveedores, el monitoreo constante de actualizaciones y la segmentación de redes para evitar que una sola herramienta comprometida otorgue acceso total a la infraestructura. También destacan la importancia de adoptar detección basada en comportamiento, ya que los atacantes cambian constantemente su infraestructura, y de apoyarse en plataformas integradas de protección y respuesta capaces de identificar amenazas desconocidas y contener ataques sofisticados antes de que escalen.lc
Si (
No(
