La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) advierte de una amenaza “inminente” vinculada a la explotación de vulnerabilidades en productos del fabricante F5. El ataque podría afectar a múltiples sectores, tanto públicos como privados, en todo el mundo.

Las autoridades estadounidenses han lanzado una advertencia urgente sobre un actor estatal de ciberamenazas que estaría intentando explotar vulnerabilidades críticas en los dispositivos y software de la empresa de ciberseguridad F5 Networks, ampliamente utilizados en agencias federales y organizaciones privadas.

En una directiva de emergencia publicada el miércoles, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) confirmó que los atacantes habían accedido a sistemas internos de F5, extrayendo archivos sensibles, fragmentos de código fuente y documentación técnica sobre vulnerabilidades. Este conocimiento, advierte la agencia, podría utilizarse como una “hoja de ruta” para comprometer redes completas, incluidas aquellas pertenecientes al gobierno estadounidense.

“El actor de la amenaza representa una amenaza inminente para las redes federales que utilizan productos F5”, afirmó CISA en su comunicado.

Un ataque con potencial de alto impacto

El subdirector ejecutivo de ciberseguridad de CISA, Nick Andersen, señaló que se ha ordenado a las agencias federales identificar de inmediato los dispositivos F5 en sus infraestructuras y aplicar actualizaciones de seguridad críticas, recomendando también al sector privado hacer lo mismo.

“El riesgo de esta vulnerabilidad se extiende a todas las organizaciones y sectores que dependen de este producto, no solo al gobierno”, advirtió Andersen, quien no quiso confirmar la identidad del grupo atacante ni su país de origen.

Aunque, por el momento, no se ha detectado evidencia de intrusiones en agencias civiles estadounidenses, la advertencia sugiere que los atacantes podrían estar preparando operaciones más amplias basadas en la información sustraída.

F5 confirma la brecha y activa una investigación global

F5, empresa con sede en Seattle y especializada en servicios de seguridad y gestión de tráfico en la nube, reconoció haber sufrido un acceso no autorizado a parte de sus sistemas el pasado 9 de agosto, lo que derivó en la filtración de información de algunos clientes.

En una declaración ante la Comisión de Bolsa y Valores (SEC), la compañía explicó que no se detectó manipulación en su proceso de desarrollo de software y que el ataque no afectó sus operaciones comerciales. Sin embargo, la información obtenida podría facilitar ataques secundarios contra organizaciones que utilizan sus productos, lo que ha encendido las alarmas de las agencias de ciberseguridad de Estados Unidos y el Reino Unido.

Para gestionar la respuesta, F5 ha contado con el apoyo de firmas de ciberseguridad de primer nivel como CrowdStrike, Mandiant, NCC Group e IOActive, y ha comenzado a reforzar sus controles internos y su infraestructura de seguridad.

La compañía también reveló que el Departamento de Justicia de EE. UU. autorizó retrasar la divulgación pública del incidente hasta el 12 de septiembre, por consideraciones de seguridad nacional.

Advertencia internacional y coordinación con Reino Unido

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) emitió una alerta paralela, instando a todas las organizaciones que utilicen dispositivos o software de F5 a actualizar de inmediato sus sistemas y aplicar las medidas de mitigación publicadas por la compañía.

Las autoridades británicas y estadounidenses están compartiendo información técnica y de inteligencia para identificar el origen del ataque, que se sospecha podría tener vínculos con un actor estatal con capacidad avanzada, aunque por ahora no se ha hecho pública ninguna atribución oficial.

F5, un eslabón crítico en la seguridad digital global

Los dispositivos F5 —como los BIG-IP y NGINX— son ampliamente utilizados para gestionar el tráfico de red, balancear cargas y proteger aplicaciones web en entornos corporativos y gubernamentales. Esta posición central los convierte en objetivos de alto valor para grupos de espionaje y ransomware, capaces de comprometer cadenas enteras de suministro tecnológico.

El incidente refuerza la creciente preocupación por la seguridad de los proveedores de infraestructura digital, un punto débil recurrente en los ataques más recientes contra gobiernos y grandes corporaciones.

“Estamos ante un recordatorio de que incluso las empresas dedicadas a la ciberseguridad pueden convertirse en vectores de riesgo si son comprometidas”, declaró un analista de Mandiant bajo condición de anonimato.