Notepad++ 8.9.2 implanta "doble candado" de seguridad tras un ciberataque histórico
- 19 Feb 2026 01:14 PM
El popular editor de texto Notepad++ ha lanzado la versión 8.9.2, una actualización crítica que introduce un mecanismo de seguridad de "doble verificación" para prevenir futuros ataques a la cadena de suministro. Esta medida responde al reciente descubrimiento de que su infraestructura de actualizaciones fue comprometida por un grupo chino, que utilizó el canal de actualizaciones para distribuir un backdoor avanzado denominado Chrysalis.
El equipo de desarrollo de Notepad++, liderado por Don Ho, ha publicado la versión 8.9.2 de su popular editor de texto y código fuente, disponible desde el 16 de febrero de 2026 para sistemas Windows.
Esta actualización, lejos de ser un simple lanzamiento de mantenimiento, constituye una respuesta integral a uno de los incidentes de seguridad más graves en la historia del proyecto, implementando un rediseño fundamental de su mecanismo de actualización para garantizar la integridad del software en los equipos de cómputo de los usuarios.
El "Doble Candado": Un mecanismo de verificación en dos capas
La innovación central de esta versión es el nuevo sistema de seguridad denominado "doble candado" (double-lock) , diseñado para hacer que el proceso de actualización sea "robusto y efectivamente inexplorable", según palabras del mantenedor del proyecto. Este mecanismo añade una capa de verificación crítica que antes estaba ausente:
| Componente de Verificación | Descripción |
|---|---|
| Instalador firmado | Implementado desde la versión 8.8.9, verifica que el instalador descargado desde GitHub cuente con una firma digital válida . |
| Firma XML del servidor (NUEVO) | Añade la validación de la firma digital XML (XMLDSig) del manifiesto de actualización proveniente del dominio oficial notepad-plus-plus.org . |
Esta doble verificación cierra la brecha que permitió a los atacantes manipular el manifiesto XML para redirigir el actualizador automático (GUP) hacia servidores maliciosos y ejecutar código arbitrario. Ahora, tanto los metadatos de la actualización como el instalador son validados criptográficamente antes de su ejecución.
Medidas de seguridad adicionales y corrección de vulnerabilidades
Más allá del nuevo mecanismo de verificación, la versión 8.9.2 incorpora un conjunto de mejoras de seguridad profundas en el componente de actualización automática WinGUp:
-
Eliminación de libcurl.dll: Se ha eliminado esta biblioteca para mitigar el riesgo de ataques de secuestro de DLL (DLL side-loading).
-
Desactivación de opciones SSL inseguras: Se han eliminado las opciones
CURLSSLOPT_ALLOW_BEASTyCURLSSLOPT_NO_REVOKEde cURL. -
Restricción de ejecución de plugins: Ahora solo los programas firmados con el mismo certificado que WinGUp pueden ejecutar la gestión de plugins.
-
Parche para CVE-2026-25926: Se corrige una vulnerabilidad de búsqueda de ruta no segura (Unsafe Search Path) al lanzar el Explorador de Windows, que podría permitir la ejecución de código arbitrario.
El contexto del ataque: La sombra de Lotus Blossom
Esta actualización de seguridad es la culminación de la respuesta a un ataque sofisticado que comprometió la infraestructura de actualizaciones de Notepad++ entre junio y diciembre de 2025.
El grupo de amenazas persistente avanzado (APT) vinculado a China, conocido como Lotus Blossom (o Lotus Panda), logró acceder al proveedor de hosting del proyecto y redirigir selectivamente las solicitudes de actualización de usuarios específicos hacia servidores maliciosos.
Estas actualizaciones envenenadas entregaban un backdoor previamente no documentado denominado "Chrysalis".
Los objetivos principales incluían organizaciones gubernamentales, del sector financiero, telecomunicaciones, aviación e infraestructura crítica en el Sudeste Asiático y América Central, aunque también se detectaron víctimas en otras regiones.
El incidente, catalogado como CVE-2025-15556, llevó al proyecto a migrar de proveedor de hosting y restablecer todas las credenciales comprometidas.
Novedades funcionales y correcciones adicionales
Junto a los cambios de seguridad, la versión 8.9.2 incluye mejoras menores y correcciones de errores:
| Tipo de Cambio | Descripción |
|---|---|
| Nueva funcionalidad | Se añade una función de "redactar selección" (redact selection) que permite ocultar texto seleccionado . |
| Correcciones | Se soluciona un fallo de instalación de plugins y un problema de alineación de accesos directos en el menú contextual. |
| Actualizaciones | Se actualiza Boost a la versión 1.90.0 y se mejoran los resaltados de sintaxis para Perl, PHP, TCL y JavaScript. |
Es importante señalar que, según reportes de la comunidad, esta nueva versión presenta algunas regresiones menores, como un posible cierre inesperado al definir lenguajes de usuario (UDL) y la desaparición del menú "Plugins Admin" en ciertas configuraciones donde el actualizador automático no se instaló.
Recomendaciones para los usuarios
Todos los usuarios y administradores de sistemas con Notepad++ instalado en sus equipos de cómputo deben actualizar inmediatamente a la versión 8.9.2.
Se recomienda descargar el instalador exclusivamente desde el sitio web oficial (notepad-plus-plus.org) para evitar fuentes potencialmente comprometidas.
Además, se aconseja a los administradores que, en sistemas que ejecutaron versiones anteriores durante el período del ataque, revisen los registros de ejecución de instaladores entre junio y diciembre de 2025 para detectar actividad inesperada.
Finalmente, se debe eliminar el certificado auto-firmado antiguo de Notepad++ del almacén de certificados de Windows si aún estuviera presente, para asegurar que solo el nuevo certificado de GlobalSign sea reconocido.