Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

La orden ejecutiva publicada recientemente contra los delitos cibernéticos, el fraude y los esquemas predatorios utiliza un lenguaje que el gobierno federal a menudo ha evitado. Ahora, por primera vez, la administración Trump se hace eco de lo que la industria de la ciberseguridad ha estado gritando durante años: el fraude cibernético es producto del crimen organizado transnacional.

Esa distinción es importante porque el crimen organizado requiere una respuesta organizada.

El cibercrimen es ahora la economía criminal de más rápido crecimiento en el mundo, basada en el robo a la gente común. Ya no es un grupo de hackers con sudaderas con capucha en sótanos o inadaptados que intercambian malware en foros en línea. Es una industria global madura que opera a escala. En toda la historia de la humanidad, no ha habido una transferencia de riqueza de esta magnitud desde la era del saqueo de los imperios. Nos hemos acostumbrado tanto que parece ruido de fondo.

Los grupos de cibercrimen modernos se parecen menos a pandillas callejeras y más a corporaciones. Manejan operaciones estructuradas, completas con departamentos de recursos humanos, canales de capacitación, métricas de desempeño y pilas de tecnología que rivalizan con la mayoría de las empresas. Sus atacantes no dependen de hazañas sofisticadas: piensan como investigadores expertos, investigando sistemáticamente las debilidades, explotando la presión psicológica, manipulando a los internos y utilizando el engaño para superar las brechas que los defensores dejaron abiertas. Operan las 24 horas del día, en todas las zonas horarias, y utilizan cada vez más la IA para automatizar ataques a una escala que antes requería operadores altamente capacitados.

Peor aún es que muchas de estas operaciones dependen del trabajo forzoso. Los complejos de estafas en el sudeste asiático funcionan como fábricas, con filas de trabajadores víctimas de trata que llevan a cabo estafas románticas, fraudes con criptomonedas y esquemas de suplantación de identidad bajo amenaza de violencia.

Su objetivo es hacer que el fraude sea más rápido y rentable. El resultado es un ecosistema criminal global que se extiende mucho más allá de las estafas en línea. Alimenta la trata de personas, el contrabando de armas, la corrupción política, los sistemas de órganos comprometidos e incluso los programas nucleares.

Si el gobierno federal está dispuesto a reconocer lo que la industria sabe (que el delito cibernético realmente opera como una industria global organizada), entonces responder a él únicamente a través de la aplicación tradicional de la ley no es suficiente. La pregunta va más allá de cómo los gobiernos aplican sanciones, coordinan investigaciones o presionan a las jurisdicciones que albergan estas operaciones. La pregunta más importante es si el sector privado está dispuesto a ayudar a desmantelar la infraestructura que permite que esta industria prospere.

Una palabra lo cambia todo

Quiero ser específico acerca de por qué esta orden ejecutiva es diferente, porque el lenguaje no es accidental.

La orden no se limita a llamar a estos grupos “hackers” o “crimen organizado”. Las llama organizaciones criminales transnacionales (TCO). Esa palabra tiene un peso legal y operativo que la mayor parte de la cobertura ha pasado por alto. Transnacional es el marco jurisdiccional que autoriza una clase de respuesta completamente diferente. Es el mismo umbral que traslada un caso de la aplicación de la ley local a la jurisdicción federal y más allá.

Combine eso con lo que sigue – “aplicación de la ley, diplomacia y posibles acciones ofensivas” – y estará leyendo algo que va mucho más allá de un memorando de política. Observemos la secuencia: la diplomacia antes que la acción ofensiva es una doctrina de proporcionalidad. Pero la administración no descartó acciones ofensivas. El documento también pide desplegar el “conjunto completo de operaciones cibernéticas defensivas y ofensivas del gobierno de Estados Unidos” y utiliza la palabra “forma” como su primer pilar de acción. En la doctrina militar, moldear el comportamiento de un adversario no significa persuasión suave. Significa que la fuerza es parte del cálculo.

Éste no es el lenguaje de una política de protección al consumidor. Quien haya escrito esto ha estudiado a la oposición.

Una amenaza organizada exige una respuesta organizada

La orden ejecutiva traza una línea en la arena: el cibercrimen ha superado sus orígenes como una cuestión de protección del consumidor. Ahora es una amenaza fundamental para la estabilidad económica y la seguridad nacional. Pero abordar una industria que opera a esta escala requiere más que la mera acción gubernamental. La respuesta de la orden es movilizar al sector privado, dando a las empresas luz verde para identificar y desbaratar las redes adversarias.

Ese encuadre importa.

El sector privado ve la maquinaria del cibercrimen todos los días. Los proveedores de seguridad, las principales plataformas y los proveedores de infraestructura detectan los servidores de comando y control, los dominios maliciosos y los canales de pago que mantienen estas operaciones en movimiento. Con demasiada frecuencia, esa inteligencia se utiliza sólo para defender intereses comerciales, cuando en realidad también debería utilizarse para perturbar las redes detrás de los ataques. Cuando los grupos criminales pierden su infraestructura central, tienen que reconstruirla. Eso cuesta tiempo. Eso cuesta dinero. Eso crea presión.

Al mismo tiempo, la orden plantea una pregunta al sector privado: ¿hasta dónde está dispuesto a llegar y bajo qué términos? Pasé mi carrera creyendo que la “fuerza mínima” importa. Una acción precisa y proporcionada previene la escalada y evita la creación de problemas en cascada. A medida que vamos más allá de un enfoque exclusivamente de defensa, esos principios importan más que nunca.

Hay otra pregunta que subyace a todo esto: ¿hasta dónde llegan realmente las “posibles acciones ofensivas”? ¿Se detiene en el ciberespacio? ¿Sanciones financieras? Cuando se les preguntó sin rodeos: «¿Sabrán los líderes y accionistas si proporcionar inteligencia sobre amenazas termina con una caída mesurada de la red o un ataque total con drones contra el centro de llamadas fraudulento?»

Las organizaciones necesitan corregir las debilidades de seguridad que los delincuentes están explotando para obtener ganancias. La mayoría de los ataques en 2026 no tienen éxito porque los delincuentes son brillantes. Lo logran porque les falta lo básico. Sin autenticación multifactor. Controles de identidad débiles. Las vulnerabilidades sin parches permanecen abiertas durante meses. A los delincuentes no les importa su industria o el tamaño de su empresa. Van a donde les resulta más fácil.

Cuando las organizaciones ignoran los controles de seguridad básicos, están haciendo más que aceptar riesgos. Están subsidiando la infraestructura criminal que explota esas brechas.

Los gobiernos deben mantener la presión sobre las naciones que albergan estas operaciones. El cibercrimen a gran escala prospera cuando la aplicación de la ley es débil o inexistente. La orden llama específicamente a las “naciones que toleran la actividad depredadora”, una señal de que no se ignorarán los refugios seguros. Una coordinación más sólida entre los gobiernos, las fuerzas del orden y la industria privada puede hacer que a los delincuentes les resulte mucho más difícil operar a gran escala.

La orden también apunta a “las TCO extranjeras y las redes asociadas”, siendo la expresión “redes asociadas” una frase deliberadamente amplia. Definir quién califica será fundamental. Si se trazan límites demasiado estrechos, la política no funcionará. Demasiado amplio y se corre el riesgo de una escalada peligrosa.

En pocas palabras, los grupos de ciberdelincuentes son disciplinados porque la disciplina vale la pena. Interrumpirlos requerirá lo mismo. Exigirá presión sobre los países que actúan como refugios seguros. Será necesario desmantelar la infraestructura detrás de estos planes. Requerirá una mejor seguridad básica en todas las organizaciones a las que se dirigen los delincuentes.

La orden ejecutiva tiene razón: el cibercrimen está organizado. Es industrial. Es despiadado. Por primera vez en mucho tiempo, la respuesta parece que también podría serlo. Aún quedan preguntas sin respuesta sobre si el gobierno, el sector privado y el público pueden alinearse en torno a lo que esto realmente exige y los riesgos que conlleva.

Después de años de ver cómo los documentos de políticas se acumulan polvo mientras crece el número de víctimas, siempre tomaré medidas por encima de la perfección.

Kyle Hanslovan es un ex operador de guerra cibernética de la NSA y director ejecutivo de Huntress Labs..