Resumen en 60 segundos
Aprendimos de un caso real: el mecanismo de actualización de Notepad++ (WinGUp) fue secuestrado a nivel de infraestructura del antiguo hosting entre junio y diciembre de 2025, redirigiendo algunas peticiones de actualización hacia instaladores maliciosos. La respuesta oficial incluyó reforzar la verificación y recomendar actualizar manualmente a 8.9.1 o superior desde la web oficial. Nuestra postura como organización (aunque no usamos Notepad++) se centra en descargas solo desde fuentes oficiales, validación de firmas/hashes y concienciación del personal.
"Notepad++ en sí no fue hackeado. El problema afectó al sistema de actualización automática (WinGUp), que fue explotado tras un compromiso de la infraestructura de nuestro anterior proveedor de hosting." — Notepad++
Fuente: Notepad++
Qué ocurrió de verdad: hijacking del updater (WinGUp) y compromiso de infraestructura
El binario oficial de Notepad++ no fue alterado en origen; el ataque se produjo en la cadena de suministro, comprometiendo la infraestructura del antiguo proveedor de hosting donde operaba el script de actualización. Ciertas solicitudes del updater (gup.exe/WinGUp) fueron redirigidas a servidores del atacante para entregar instaladores troyanizados a un número muy limitado de víctimas (selección “quirúrgica”).
En nuestra experiencia, este vector es clásico de ataques a software ampliamente difundido: cuando hay intermediarios (CDN, scripts de descarga, mirrors), robustecer firma/certificado y validaciones es crítico.
"Chinese state-sponsored threat actors were likely behind the hijacking of Notepad++ update traffic last year that lasted for almost half a year." — BleepingComputer
Fuente: BleepingComputer
Cronología y versiones afectadas (junio–diciembre 2025) y el refuerzo en 8.9.1
- Junio–diciembre de 2025: redirecciones selectivas del updater hacia cargas maliciosas (pocas víctimas, enfoque dirigido).
- 18 nov 2025 – v8.8.8: primera mención explícita a problema de hijacking en WinGUp y recomendación de actualizar manualmente descargando el instalador oficial.
- 9 dic 2025 – v8.8.9: publicación que describe el tráfico secuestrado y el descargador malicioso; se sigue insistiendo en descarga manual.
- 2 feb 2026 – aclaración oficial: confirmación de compromiso del proveedor de hosting y no del binario de Notepad++; alcance limitado, selectivo.
- Recomendación reciente: instalar 8.9.1+ por los refuerzos de validación y firmados.
"Recomendamos descargar la versión v8.9.1 y ejecutar el instalador para actualizar Notepad++ manualmente. La incidencia ya ha sido completamente resuelta." — Notepad++
Fuente: Notepad++
¿Fuimos víctimas? Señales y comprobaciones rápidas
Aunque no usamos Notepad++, nos regimos por este checklist para investigar posibles impactos en entornos mixtos:
- Origen de la instalación/actualización: ¿fue mediante el updater incrustado o descarga manual desde el sitio oficial? (Más riesgo si fue el updater).
- Versiones y fechas: instalaciones/updates entre junio y diciembre de 2025 merecen revisión adicional.
- Logs y red: revisar peticiones del gup.exe/WinGUp y si apuntaron a dominios/IPS no oficiales.
- EDR/AV: buscar artefactos anómalos (instaladores temporales no firmados, persistence).
- Comunidad/IOC: la comunidad menciona un número reducido (~una docena) de víctimas con geos específicas; aun así, verificamos.
"De todos los intentos de actualización, solo se registró una docena de afectados; el resto de los usuarios recibió la actualización con normalidad y sin ningún tipo de alteración." — Notepad++ Community FAQ
Fuente: Notepad++ Community FAQ
Medidas inmediatas: descarga segura, actualización manual y verificación de firma/hash
Así lo aplicamos en Bitralix para nuestro stack y recomendamos a clientes:
- Descarga manual del instalador desde el sitio oficial; evitar mirrors de terceros.
- Validación de firma digital del ejecutable/instalador y comprobación de hash (publicado por el proveedor, cuando esté disponible).
- Bloqueo del updater (temporal) en endpoints gestionados si hay dudas, y despliegue centralizado de la versión saneada (8.9.1+).
- Lista blanca de aplicaciones (WDAC/AppLocker) y control de orígenes de descarga.
- Concienciación: insistimos en “solo fuentes oficiales” y en no instalar si falta la firma correcta.
"Se recomienda a los usuarios descargar manualmente la versión oficial e instalarla para actualizar Notepad++ mediante el instalador oficial." — Notepad++ v8.8.8 release
Fuente: Notepad++
Endurecimiento para empresas: controles por capas que sí funcionan
En nuestros procedimientos de cliente, lo que mejor nos ha funcionado:
- Gestión de orígenes: proxy con inspección TLS y lista permitida de dominios oficiales.
- Revisión de integridad: política para comprobar firma y registrar el hash de binarios críticos.
- EDR + reglas específicas para gup.exe y artefactos temporales de instaladores.
- Cierre del bucle: patching orquestado y reportes de conformidad (quién tiene 8.9.1+ y quién no).
- Cultura: campañas breves y repetidas sobre “descarga segura”. En nuestra experiencia, la repetición trimestral reduce incidentes por shadow IT.
DLL hijacking en 2025: qué es y cómo mitigarlo
Paralelamente al incidente del updater, se documentaron reportes y CVE sobre DLL hijacking en versiones 2025 (carga de DLL en rutas no seguras o en directorios de plugins). Este vector permite ejecución de código si un atacante controla el path.
- Mantener Notepad++ actualizado.
- Revisar directorios de plugins y políticas de carga.
- Evitar rutas escribibles por usuarios para binarios/librerías.
Preguntas frecuentes (FAQs)
¿Qué significa “Notepad++ hijacked” y en qué nos afecta? Se refiere al secuestro del mecanismo de actualización (WinGUp) a nivel de
Se refiere al secuestro del mecanismo de actualización (WinGUp) a nivel de infraestructura del proveedor de hosting. Afecta si actualizamos mediante el updater durante jun–dic 2025.
¿Cómo verificamos la firma y el hash del instalador de Notepad++?
Descargamos manualmente desde el sitio oficial y comprobamos la firma digital del ejecutable; contrastamos el hash con el publicado por el proyecto (cuando esté disponible).
¿Qué versión es segura ahora mismo?
La recomendación oficial es 8.9.1 o superior, con refuerzos de validación. Actualizamos manual y centralizadamente.
¿Fue un ataque masivo?
No. Fue selectivo, con pocas víctimas (alrededor de una docena), según la comunidad y fuentes técnicas.
¿Notepad++ estuvo “hackeado”?
El editor no; lo comprometido fue la infraestructura del hosting que redirigía el updater.
¿Qué relación hay con “DLL hijacking en Notepad++”?
Es otro vector reportado en 2025 (carga insegura de DLL), mitigable manteniendo versiones recientes y controlando rutas de carga.
Conclusión
El caso Notepad++ Hijacked nos recuerda que los ataques a cadenas de suministro pueden pasar desapercibidos si el control cae en un eslabón “externo” como el hosting. Nuestra receta: descarga manual desde el sitio oficial, verificar firmas/hashes, controlar el updater, mantener 8.9.1+, y consolidar una cultura de descarga segura. Aunque no usamos Notepad++, aplicamos exactamente estas prácticas a todo nuestro stack y a los softwares de nuestros clientes.
¿Quieres blindar tu ciclo de descargas y actualizaciones?
En Bitralix diseñamos políticas de descarga segura, repositorios privados y validación de binarios desde la capa de hosting. Implantamos listas blancas, proxy/SSL inspeccionado y flujos de despliegue firmados.