Las autoridades de ciberseguridad estadounidenses lanzaron una advertencia a agencias y empresas sobre la explotación de una vulnerabilidad en dispositivos Cisco, utilizada por grupos de espionaje altamente sofisticados.

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) ordenó a los equipos de TI federales que actúen de inmediato para mitigar el riesgo.

Según la directiva de emergencia emitida el jueves, los equipos afectados corresponden a un subconjunto de los Cisco Adaptive Security Appliance (ASA) serie 5500-X, utilizados como firewalls para proteger redes corporativas.

CISA advirtió que los administradores tenían poco más de 24 horas para localizar todos los dispositivos conectados a las redes, escanearlos en busca de actividad maliciosa y aplicar las actualizaciones de seguridad correspondientes.

El organismo alertó de que la campaña de ataques en curso supone “un riesgo significativo para las redes de las víctimas” y que no actuar con rapidez podría exponer datos críticos de instituciones gubernamentales y empresas privadas.

Hackers vinculados al espionaje

Cisco confirmó en un blog que la actividad maliciosa era “compleja y sofisticada”, y que los atacantes están relacionados con ArcaneDoor, una organización de ciberespionaje previamente identificada.

Investigadores de Censys vincularon esta operación a grupos con base en China, aunque Pekín negó sistemáticamente su implicación en este tipo de ataques.

El informe anual de Verizon sobre brechas digitales ya había señalado que la explotación de dispositivos periféricos —como firewalls y routers— aumentó en 2024, convirtiéndose en un vector de ataque cada vez más utilizado por actores estatales y criminales.

Un objetivo tentador para los hackers

Aunque los firewalls como los ASA de Cisco están diseñados para reforzar la seguridad, su exposición directa a internet y la falta frecuente de actualización de software los convierten en blancos atractivos para los atacantes.

Cisco instó a todos los clientes a seguir las pautas publicadas en su web para evaluar la exposición de sus redes y aplicar los parches de seguridad de inmediato.

La empresa también advirtió que este tipo de campañas no solo buscan interrumpir operaciones, sino también obtener acceso prolongado y silencioso a redes sensibles, lo que refuerza la urgencia de la directiva emitida por el gobierno de EE.UU.