{"id":294,"date":"2026-03-18T22:02:47","date_gmt":"2026-03-18T22:02:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/la-ultima-ola-de-vulnerabilidades-de-cisco-tiene-un-patron-mas-preocupante-en-el-fondo\/"},"modified":"2026-03-18T22:02:47","modified_gmt":"2026-03-18T22:02:47","slug":"la-ultima-ola-de-vulnerabilidades-de-cisco-tiene-un-patron-mas-preocupante-en-el-fondo","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/la-ultima-ola-de-vulnerabilidades-de-cisco-tiene-un-patron-mas-preocupante-en-el-fondo\/","title":{"rendered":"La \u00faltima ola de vulnerabilidades de Cisco tiene un patr\u00f3n m\u00e1s preocupante en el fondo"},"content":{"rendered":"
\n

Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco revel\u00f3 en sus firewalls y sistemas SD-WAN durante las \u00faltimas tres semanas ya han sido explotadas en la naturaleza. <\/p>\n

Los atacantes explotaron un par de estos defectos (vulnerabilidades de d\u00eda cero en las SD-WAN de Cisco) durante al menos tres a\u00f1os antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco revel\u00f3 un cinco vulnerabilidades SD-WAN adicionales<\/a> ese mismo d\u00eda, y desde entonces se ha confirmado que tres de esos defectos tambi\u00e9n se explotan activamente.<\/p>\n

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ah\u00ed. Amazon Threat Intelligence dijo el mi\u00e9rcoles que uno de los dos defectos de gravedad m\u00e1xima que Cisco inform\u00f3 en su software de gesti\u00f3n de firewall a principios de este mes se hab\u00eda solucionado activamente. explotado por el ransomware Interlock<\/a> desde el 26 de enero, m\u00e1s de un mes antes de que esas vulnerabilidades se revelaran p\u00fablicamente.<\/p>\n

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan m\u00e1s defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, d\u00edas cero y otros que se determin\u00f3 que fueron explotados activamente despu\u00e9s de la divulgaci\u00f3n.<\/p>\n

\u00abEstos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gesti\u00f3n y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales\u00bb, dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.<\/p>\n

\u00abSi compromete la SD-WAN o la gesti\u00f3n del firewall, se ver\u00e1 afectado por pol\u00edticas, visibilidad, enrutamiento, segmentaci\u00f3n y, en muchos casos, confianza administrativa en una gran parte del entorno\u00bb, a\u00f1adi\u00f3. \u00abLos atacantes lo saben y, cuando encuentran una ruta de autorizaci\u00f3n previa a esos sistemas, especialmente una que pueda encadenarse a la ra\u00edz, es lo m\u00e1s atractivo posible\u00bb.<\/p>\n

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:<\/p>\n

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotaci\u00f3n activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.<\/p>\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su cat\u00e1logo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agreg\u00f3 nuevos requisitos de caza y presentaci\u00f3n de informes a un directiva de emergencia<\/a> public\u00f3 sobre los defectos a finales de febrero, no respondi\u00f3 preguntas sobre el pedido actualizado ni explic\u00f3 por qu\u00e9 otras vulnerabilidades de Cisco explotadas activamente no se han agregado al cat\u00e1logo. La agencia ha estado operando bajo un cierre de financiaci\u00f3n desde febrero.<\/p>\n

El ransomware Interlock ataca los firewalls de Cisco<\/h4>\n

La campa\u00f1a de ransomware en curso que Amazon Threat Intelligence detect\u00f3 que involucraba a CVE-2026-20131 confirm\u00f3 que \u00abInterlock ten\u00eda un d\u00eda cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar\u00bb, dijeron los investigadores el mi\u00e9rcoles.<\/p>\n

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas leg\u00edtimas. Amazon no identific\u00f3 v\u00edctimas espec\u00edficas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.<\/p>\n

\u00abHist\u00f3ricamente, Interlock se ha dirigido a sectores espec\u00edficos donde la interrupci\u00f3n operativa crea la m\u00e1xima presi\u00f3n para el pago\u00bb, dijeron los investigadores de Amazon Threat Intelligence en la publicaci\u00f3n del blog. Estos sectores incluyen educaci\u00f3n, ingenier\u00eda, arquitectura, construcci\u00f3n, manufactura, industria, atenci\u00f3n m\u00e9dica y entidades gubernamentales. <\/p>\n

4 defectos de Cisco SD-WAN bajo ataque<\/h4>\n

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuy\u00f3 anteriormente ataques de larga duraci\u00f3n que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no est\u00e1 claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN. <\/p>\n

\u00abEs probable que otros grupos de amenazas retomen la investigaci\u00f3n p\u00fablica para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados\u00bb, Caitlin Condon, vicepresidenta de investigaci\u00f3n de seguridad de VulnCheck<\/a>dijo a CyberScoop.<\/p>\n

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos despu\u00e9s de que se identifica un defecto significativo en un producto espec\u00edfico, como los sistemas SD-WAN de Cisco.<\/p>\n

Cisco se neg\u00f3 a responder preguntas y dijo que los clientes pueden encontrar la informaci\u00f3n m\u00e1s reciente sobre su seguridad. p\u00e1gina de avisos<\/a>.<\/p>\n

Condon y McKee se\u00f1alaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de b\u00fasqueda de amenazas y, en el caso de los d\u00edas cero de SD-WAN, orientaci\u00f3n gubernamental coordinada. <\/p>\n

\u201cAs\u00ed es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotaci\u00f3n\u201d, dijo McKee. <\/p>\n

\u00abLa pregunta m\u00e1s dif\u00edcil es si la industria est\u00e1 obteniendo visibilidad lo suficientemente temprana de los defectos del software de gesti\u00f3n de borde que los actores sofisticados est\u00e1n claramente priorizando\u00bb, a\u00f1adi\u00f3. \u00ab\u00bfEst\u00e1n nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gesti\u00f3n de exposici\u00f3n?\u00bb<\/p>\n

Las crecientes vulnerabilidades que los clientes de Cisco est\u00e1n combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deber\u00edan despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS m\u00e1s bajas, dijo Condon. <\/p>\n

\u00abVarias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS cr\u00edticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorizaci\u00f3n podr\u00edan pasar por alto fallas de puntuaci\u00f3n media o alta que a\u00fan tienen utilidad para el adversario en el mundo real\u00bb, a\u00f1adi\u00f3.<\/p>\n

Los ataques tambi\u00e9n reflejan colectivamente un patr\u00f3n persistente de atacantes que apuntan a sistemas de borde de red de m\u00faltiples proveedores, incluido Cisco.<\/p>\n

\u201cLos atacantes contin\u00faan tratando el borde de la red y la infraestructura de administraci\u00f3n como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administraci\u00f3n y autenticaci\u00f3n previa con evidencia de explotaci\u00f3n previa a la divulgaci\u00f3n, deben asumir un compromiso, no solo una exposici\u00f3n\u201d, dijo McKee. <\/p>\n

\u00abLos atacantes est\u00e1n invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gesti\u00f3n de Cisco porque la recompensa es enorme\u00bb, a\u00f1adi\u00f3. \u00abEstas plataformas le brindan una posici\u00f3n privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas\u00bb.<\/p>\n