{"id":658,"date":"2026-04-23T20:55:05","date_gmt":"2026-04-23T20:55:05","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/las-agencias-de-ee-uu-y-el-reino-unido-advierten-que-los-piratas-informaticos-se-escondieron-en-los-firewalls-de-cisco-mucho-despues-de-que-se-aplicaron-los-parches\/"},"modified":"2026-04-23T20:55:05","modified_gmt":"2026-04-23T20:55:05","slug":"las-agencias-de-ee-uu-y-el-reino-unido-advierten-que-los-piratas-informaticos-se-escondieron-en-los-firewalls-de-cisco-mucho-despues-de-que-se-aplicaron-los-parches","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/las-agencias-de-ee-uu-y-el-reino-unido-advierten-que-los-piratas-informaticos-se-escondieron-en-los-firewalls-de-cisco-mucho-despues-de-que-se-aplicaron-los-parches\/","title":{"rendered":"Las agencias de EE. UU. y el Reino Unido advierten que los piratas inform\u00e1ticos se escondieron en los firewalls de Cisco mucho despu\u00e9s de que se aplicaron los parches"},"content":{"rendered":"
\n

Un grupo de piratas inform\u00e1ticos patrocinado por el estado ha implantado una puerta trasera personalizada en los dispositivos de seguridad de red de Cisco que puede sobrevivir a las actualizaciones de firmware y reinicios est\u00e1ndar, revelaron el jueves las autoridades de ciberseguridad de EE. UU. y Gran Breta\u00f1a, lo que marca una escalada significativa en una campa\u00f1a que se ha dirigido a redes gubernamentales y de infraestructura cr\u00edtica desde al menos finales de 2025.<\/p>\n

La Agencia de Seguridad Cibern\u00e9tica y de Infraestructura y el Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido publicaron conjuntamente un informe de an\u00e1lisis de malware<\/a> identificando la puerta trasera, cuyo nombre en c\u00f3digo es Firestarter. La divisi\u00f3n de inteligencia de amenazas de Cisco, Talos, atribuy\u00f3 el malware a un actor de amenazas al que rastrea como UAT-4356. La compa\u00f1\u00eda atribuy\u00f3 al mismo grupo a una campa\u00f1a de espionaje de 2024 llamada ArcaneDoor, que se centr\u00f3 en comprometer los dispositivos del per\u00edmetro de la red.<\/p>\n

CISA confirm\u00f3 que descubri\u00f3 Firestarter en el dispositivo Cisco Firepower de una agencia civil federal de EE. UU. despu\u00e9s de identificar conexiones sospechosas a trav\u00e9s de un monitoreo continuo de la red. El hallazgo provoc\u00f3 una directiva de emergencia actualizada<\/a> emitido el jueves, que exige que todas las agencias civiles federales auditen su infraestructura de firewall Cisco y env\u00eden instant\u00e1neas de la memoria del dispositivo para su an\u00e1lisis antes del viernes.<\/p>\n

Una puerta trasera que dura m\u00e1s que los parches<\/h4>\n

La preocupaci\u00f3n central que impulsa la directiva actualizada es la capacidad del grupo de ataque para persistir en los dispositivos comprometidos, incluso despu\u00e9s de que las empresas aplicaron los parches de seguridad que Cisco lanz\u00f3 en septiembre de 2025. Esos parches abordaron dos vulnerabilidades: CVE-2025-20333<\/a>una falla de ejecuci\u00f3n remota de c\u00f3digo en el componente del servidor web VPN, y CVE-2025-20362<\/a>una vulnerabilidad de acceso no autorizado, que UAT-4356 aprovech\u00f3 para obtener la entrada inicial. Seg\u00fan CISA, los dispositivos comprometidos antes del parche a\u00fan pueden albergar el implante.<\/p>\n

Firestarter permite a los atacantes lograr persistencia manipulando la lista de montaje de Cisco Service Platform, un archivo de configuraci\u00f3n que gobierna qu\u00e9 programas se ejecutan durante la secuencia de inicio del dispositivo. Cuando el dispositivo recibe una se\u00f1al de terminaci\u00f3n o se reinicia, el malware se copia a s\u00ed mismo en una ubicaci\u00f3n secundaria y reescribe la lista de montaje para restaurarse y reiniciarse despu\u00e9s de que el sistema vuelva a estar en l\u00ednea. <\/p>\n

Fundamentalmente, un reinicio est\u00e1ndar del software no elimina el implante. Seg\u00fan CISA y Cisco, s\u00f3lo un reinicio completo (desconectar f\u00edsicamente el dispositivo de su fuente de alimentaci\u00f3n) es suficiente para borrar el mecanismo de persistencia de la memoria.<\/p>\n

A partir de ah\u00ed, el malware inyecta un c\u00f3digo shell malicioso en LINA, el c\u00f3digo central de red y firewall del software Adaptive Security Appliance y Firepower Threat Defense de Cisco. Una vez integrado, el malware intercepta un tipo espec\u00edfico de solicitud de red que normalmente se utiliza para la autenticaci\u00f3n VPN. Cuando llega una solicitud que contiene una secuencia de activaci\u00f3n oculta, ejecuta el c\u00f3digo proporcionado por los atacantes, d\u00e1ndoles una puerta trasera al dispositivo.<\/p>\n

V\u00ednculos con la campa\u00f1a en curso<\/h4>\n

Cisco Talos se\u00f1al\u00f3 que Firestarter comparte importantes similitudes t\u00e9cnicas con un implante previamente documentado llamado RayInitiator, lo que sugiere que las herramientas comparten un origen com\u00fan o una historia de desarrollo dentro del arsenal de UAT-4356.<\/p>\n

En el incidente de la agencia federal analizado por CISA, los atacantes primero implementaron un implante separado, llamado Line Viper, para obtener acceso a las configuraciones, credenciales y claves de cifrado del dispositivo. Firestarter se instal\u00f3 poco despu\u00e9s, antes de que se aplicaran los parches de Cisco de septiembre de 2025 a esos dispositivos espec\u00edficos. Cuando la agencia parch\u00f3 sus sistemas, Firestarter permaneci\u00f3 en los dispositivos y los actores lo usaron para volver a implementar Line Viper en marzo, casi seis meses despu\u00e9s de la infracci\u00f3n inicial.<\/p>\n

Cisco y CISA no atribuyeron los ataques de espionaje a un estado nacional espec\u00edfico, pero los investigadores de Censys dijeron anteriormente que encontraron evidencia convincente que indicaba una grupo de amenaza con sede en China<\/a> estaba detr\u00e1s de la campa\u00f1a ArcaneDoor. Censys se\u00f1al\u00f3 que encontr\u00f3 evidencia de m\u00faltiples redes chinas importantes y software anticensura desarrollado en China durante su investigaci\u00f3n sobre los ataques de principios de 2024.<\/p>\n

La vulnerabilidad de persistencia afecta a una amplia gama de hardware de Cisco, incluidas las series Firepower 1000, 2100, 4100 y 9300, as\u00ed como las series Secure Firewall 1200, 3100 y 4200.<\/p>\n

Cisco ha lanzado software actualizado<\/a> para abordar el mecanismo de persistencia, aunque la compa\u00f1\u00eda recomienda encarecidamente volver a crear im\u00e1genes de los dispositivos afectados en lugar de depender \u00fanicamente de las actualizaciones de software cuando se sospecha que est\u00e1n comprometidos.<\/p>\n

El incidente refleja un patr\u00f3n que se observa cada vez m\u00e1s entre los piratas inform\u00e1ticos vinculados al estado: atacar los dispositivos de borde de la red en los que conf\u00edan las organizaciones para hacer cumplir los l\u00edmites de seguridad. Debido a que estos dispositivos se encuentran en el per\u00edmetro de las redes empresariales y gubernamentales, comprometerlos puede exponer el tr\u00e1fico interno y dar a los atacantes una posici\u00f3n para interceptar credenciales y comunicaciones.<\/p>\n

CISA reconoci\u00f3 que en el momento de la publicaci\u00f3n se estaba explotando activamente las vulnerabilidades subyacentes.<\/p>\n

Un portavoz de Cisco le dijo a CyberScoop que los clientes que necesiten asistencia deben comunicarse Asistencia T\u00e9cnica Cisco<\/a> para apoyo. CISA no respondi\u00f3 a una solicitud de comentarios. <\/p>\n