{"id":68,"date":"2026-02-26T19:01:07","date_gmt":"2026-02-26T19:01:07","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/governments-issue-warning-over-cisco-zero-day-attacks-dating-back-to-2023\/"},"modified":"2026-02-26T19:01:07","modified_gmt":"2026-02-26T19:01:07","slug":"governments-issue-warning-over-cisco-zero-day-attacks-dating-back-to-2023","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/governments-issue-warning-over-cisco-zero-day-attacks-dating-back-to-2023\/","title":{"rendered":"Governments issue warning over Cisco zero-day attacks dating back to 2023"},"content":{"rendered":"
\n

Los atacantes han estado explotando un par de vulnerabilidades de d\u00eda cero en el software de red de Cisco durante al menos tres a\u00f1os, y la campa\u00f1a global est\u00e1 en curso, dijeron las autoridades a trav\u00e9s de una serie de advertencias publicadas el mi\u00e9rcoles.<\/p>\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad emiti\u00f3 un directiva de emergencia<\/a> sobre los ataques globales y emitidos Orientaci\u00f3n conjunta con los Cinco Ojos.<\/a> para ayudar a los defensores a responder y buscar evidencia de compromiso<\/a>.<\/p>\n

Esto marca la segunda serie de m\u00faltiples vulnerabilidades de d\u00eda cero explotadas activamente en la tecnolog\u00eda de punta de Cisco desde la primavera pasada. Ambas campa\u00f1as dieron lugar a directivas de emergencia de CISA meses despu\u00e9s de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un a\u00f1o antes de que fueran identificadas.<\/p>\n

Las autoridades se abstuvieron de atribuir los ataques a ning\u00fan estado naci\u00f3n o grupo amenazador. Los investigadores de Cisco Talos asignaron los exploits y la actividad posterior al compromiso a UAT-8616,<\/a> al que s\u00f3lo describieron como un \u201cactor de amenazas altamente sofisticado\u201d.<\/p>\n

El \u00abintento de explotaci\u00f3n del grupo de actividades indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibern\u00e9ticas para establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos sectores de infraestructura cr\u00edticos\u00bb, dijo Cisco Talos en un aviso de amenazas.<\/p>\n

La actividad maliciosa vinculada a esta campa\u00f1a tiene un gran alcance y los atacantes han explotado las vulnerabilidades en sistemas espec\u00edficos para acceder y potencialmente comprometer las redes federales, dijo Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA, durante una conferencia de prensa el mi\u00e9rcoles. <\/p>\n

Andersen se neg\u00f3 a decir cu\u00e1ndo CISA tuvo conocimiento de esta actividad por primera vez y no proporcion\u00f3 detalles sobre las v\u00edctimas potenciales, y agreg\u00f3 que los funcionarios est\u00e1n trabajando en las etapas iniciales de mitigaci\u00f3n.<\/p>\n

En la gu\u00eda de b\u00fasqueda de amenazas publicada conjuntamente, Five Eyes dijo que todos los miembros estaban conscientes de que el d\u00eda cero m\u00e1s reciente… CVE-2026-20127<\/a> \u2013 fue identificado y confirmado como explotado activamente a fines de 2025. Los funcionarios y Cisco no explicaron por qu\u00e9 tom\u00f3 al menos dos meses revelar y parchear la vulnerabilidad, y compartir orientaci\u00f3n de mitigaci\u00f3n de emergencia. <\/p>\n

Los atacantes est\u00e1n obteniendo el control total de un sistema en una cadena al explotar CVE-2026-20127 para evitar la autenticaci\u00f3n y luego degradar el software a una versi\u00f3n vulnerable a CVE-2022-20775<\/a> para aumentar los privilegios, dijo Douglas McKee, director de inteligencia de vulnerabilidades en Rapid7.<\/p>\n

\u00abEse segundo paso les permite pasar del control administrativo a la ra\u00edz del sistema operativo subyacente. Ese paso a la degradaci\u00f3n muestra un conocimiento deliberado de las versiones del producto y del historial de parches\u00bb, dijo a CyberScoop. \u00abEsto no es un escaneo oportunista. Es un arte estructurado\u00bb.<\/p>\n

CISA agreg\u00f3 CVE-2022-20775 y CVE-2026-20127 a su cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a> Mi\u00e9rcoles.<\/p>\n

La brecha de tres a\u00f1os entre los ataques iniciales conocidos y la explotaci\u00f3n detectada de los d\u00edas cero muestra el uso quir\u00fargico de las vulnerabilidades por parte de los atacantes y la naturaleza altamente dirigida de su campa\u00f1a, dijo Ben Harris, fundador y director ejecutivo de watchTowr. <\/p>\n

La l\u00ednea de tiempo y la ruta de ataque conocida tambi\u00e9n indican una disciplina operativa que permiti\u00f3 a los atacantes mantener el acceso a largo plazo en la infraestructura de red cr\u00edtica sin activar alarmas, dijo McKee. Esas actividades se alinean \u201cm\u00e1s estrechamente con el espionaje patrocinado por el Estado que con delitos con motivaci\u00f3n financiera\u201d, a\u00f1adi\u00f3.<\/p>\n

La directiva de emergencia de CISA requiere que las agencias federales realicen un inventario de todos los sistemas Cisco SD-WAN vulnerables, recopilen registros de esos sistemas, apliquen las actualizaciones de seguridad de Cisco, busquen evidencia de compromiso y sigan La gu\u00eda de Cisco<\/a> para el viernes. <\/p>\n

La \u00faltima campa\u00f1a dirigida a la tecnolog\u00eda de borde de red de Cisco comparte muchas similitudes con otra serie de ataques sobre los que Cisco advirti\u00f3 en septiembre. Esos ataques, que involucraron al menos dos d\u00edas cero explotados activamente, estuvieron en marcha durante al menos un a\u00f1o antes de ser descubiertos por primera vez en mayo. <\/p>\n

Cisco no respondi\u00f3 preguntas sobre posibles conexiones entre las campa\u00f1as. El vendedor y los funcionarios tambi\u00e9n han evitado hasta ahora compartir detalles sobre lo que ocurri\u00f3 detr\u00e1s de escena durante estos ataques sostenidos.<\/p>\n

Un portavoz de Cisco inst\u00f3 a los clientes a actualizar el software y seguir orientaci\u00f3n de su asesor<\/a>. <\/p>\n

Desafortunadamente, es demasiado tarde para que algunos clientes de Cisco SD-WAN apliquen parches, dijo Harris. \u00abEl consejo de Cisco de reconstruir completamente y buscar se\u00f1ales previas de intrusi\u00f3n debe tomarse en serio\u00bb.<\/p>\n