- Un ataque silencioso a las actualizaciones de un software ampliamente utilizado por desarrolladores y equipos de tecnología permitió a ciberdelincuentes infiltrarse en redes corporativas y gubernamentales sin levantar sospechas. Investigadores del equipo Global Research and Analysis Team (GReAT) de Kaspersky descubrieron que los atacantes comprometieron la cadena de suministro de Notepad++, un popular editor de texto y código presente en millones de computadoras, y utilizaron su sistema de actualización para distribuir malware camuflado como parches legítimos.
El propio equipo de desarrollo informó que la infraestructura de actualización fue vulnerada tras un incidente que afectó a su proveedor de hosting, lo que permitió intervenir el mecanismo de distribución oficial. Sin embargo, el alcance del episodio resultó mayor al inicialmente conocido.
Un ataque que operó durante meses
Además del malware detectado en una primera instancia, Kaspersky identificó múltiples cadenas de ataque ocultas que operaron entre julio y octubre. Las campañas afectaron a organizaciones gubernamentales, instituciones financieras, proveedores de servicios de TI y usuarios en diversas regiones, incluyendo América Latina.
Según el análisis, lo que se había reportado públicamente correspondía únicamente a la fase final de la operación. Esto implica que muchas organizaciones pudieron haber revisado sus entornos sin detectar infecciones previas, ya que los atacantes modificaron constantemente sus indicadores.
En cada etapa, los ciberdelincuentes cambiaron su infraestructura de manera integral. Servidores, dominios, archivos maliciosos y métodos de ejecución fueron reemplazados sistemáticamente, una estrategia que les permitió evadir controles tradicionales y prolongar su permanencia dentro de las redes comprometidas.
La confianza como vector de ataque
Este tipo de compromiso resulta especialmente crítico porque explota la confianza depositada en los mecanismos de actualización de software. A diferencia de otros vectores, la víctima no descarga archivos sospechosos ni interactúa con enlaces maliciosos.
El malware llega a través de un canal legítimo, lo que reduce fricciones en el acceso inicial y facilita la infiltración en entornos corporativos y gubernamentales. Una vez dentro, los atacantes pueden avanzar hacia espionaje, robo de información o movimientos laterales hacia sistemas críticos.
“Cuando un atacante compromete la actualización de una herramienta que una organización usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin generar sospechas”, señaló Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
El especialista explicó que la empresa afectada acepta el archivo como legítimo, lo que provoca que “la organización baje la guardia”. En ese escenario, sostuvo, la cadena de suministro se convierte en una de las rutas más efectivas para el espionaje y el robo de datos.
Cuozzo advirtió además que este tipo de incidentes obliga a revisar los modelos de defensa tradicionales. “Las organizaciones ya no pueden depender solo de listas de indicadores conocidos”, afirmó Leandro Cuozzo, quien remarcó la necesidad de contar con visibilidad y detección continua dentro de las redes.
Respuesta y análisis técnico
Las soluciones de Kaspersky bloquearon todos los ataques identificados durante la investigación. La compañía publicó nuevos indicadores de compromiso (IoC) y un análisis técnico detallado para asistir a las organizaciones en la revisión de posibles exposiciones previas.
Más allá del incidente puntual, el caso vuelve a poner en foco la creciente sofisticación de los ataques a la cadena de suministro, una modalidad que ganó protagonismo por su efectividad y bajo nivel de ruido operativo.
Recomendaciones para reducir el riesgo
Para mitigar la exposición frente a este tipo de campañas, los expertos de Kaspersky recomiendan:
Fortalecer la gestión de la cadena de suministro digital: validar proveedores, monitorear continuamente actualizaciones de software, mantener inventarios claros de activos y segmentar redes para que una sola herramienta comprometida no otorgue acceso total.
Adoptar detección basada en comportamiento: dado que los atacantes cambian su infraestructura, resulta clave identificar actividades anómalas, movimientos laterales o escalamiento de privilegios en tiempo real.
Apoyarse en plataformas integradas de protección y respuesta: soluciones como Kaspersky Next XDR Optimum combinan prevención, detección y respuesta avanzadas para descubrir amenazas desconocidas dentro de la red.
El incidente evidencia cómo herramientas de uso cotidiano pueden transformarse en vectores invisibles de ataque cuando la cadena de confianza es vulnerada. En un entorno donde las actualizaciones automáticas forman parte central de la operación tecnológica, la visibilidad interna y la detección continua se consolidan como componentes críticos de la estrategia de ciberseguridad.
Equipo Prensa
Portal Innova
