Cisco ha confirmado el miércoles que un grupo de hackers está explotando activamente una vulnerabilidad crítica en algunos de sus productos de seguridad más populares. La falla permite a los atacantes obtener el control total de los dispositivos afectados, y la situación se agrava por la inexistencia de un parche de seguridad disponible en este momento.
Puntos Clave
Una vulnerabilidad de día cero está siendo explotada activamente. No hay parche disponible y la única solución recomendada por Cisco es reconstruir los sistemas afectados desde cero para eliminar la persistencia de los atacantes.
Detalles de la Vulnerabilidad y Productos Afectados
Según un aviso de seguridad emitido por la compañía, la campaña de hacking fue descubierta el 10 de diciembre y se dirige específicamente al software Cisco AsyncOS. Los productos vulnerables incluyen los dispositivos físicos y virtuales Cisco Secure Email Gateway y Cisco Secure Email and Web Manager.
La explotación es posible en dispositivos que cumplen dos condiciones: tener habilitada la función «Cuarentena de spam» y que esta sea accesible desde Internet. Cisco ha señalado que esta función no está activada por defecto y no requiere necesariamente exposición a la red pública, lo que podría limitar el alcance del ataque. Michael Taggart, investigador senior de ciberseguridad en UCLA Health Sciences, comentó que «el requisito de una interfaz de administración orientada a Internet y ciertas funciones habilitadas limitará la superficie de ataque para esta vulnerabilidad».
Concepto Clave: Vulnerabilidad de Día Cero
Una vulnerabilidad de «día cero» (o zero-day) es una falla de seguridad en un software que es desconocida para el fabricante o para el público general. El término «día cero» se refiere al hecho de que el desarrollador tiene cero días para solucionarla antes de que sea explotada por atacantes, ya que la vulnerabilidad se hace pública en el mismo momento en que se descubre el ataque.
Sin embargo, el investigador de seguridad Kevin Beaumont, conocido por su seguimiento de campañas de hacking, advirtió que la situación es particularmente problemática. Muchos de los productos afectados son utilizados por grandes organizaciones, y la falta de un parche, junto con la incertidumbre sobre cuánto tiempo los atacantes han tenido acceso a los sistemas, eleva el nivel de riesgo. Por el momento, Cisco no ha revelado el número de clientes afectados.
Atribución y Respuesta de Cisco
El equipo de inteligencia de amenazas de la compañía, Cisco Talos, ha vinculado a los atacantes con China y otros grupos de hacking conocidos patrocinados por el gobierno chino. Los investigadores de Talos publicaron un análisis detallado indicando que los hackers están utilizando la vulnerabilidad de día cero para instalar puertas traseras persistentes en los sistemas comprometidos. La campaña ha estado en curso «desde al menos finales de noviembre de 2025».
Cronología Clave del Incidente
| Finales de Nov. 2025 | Inicio de la campaña de explotación activa por parte de los atacantes. |
| 10 de Diciembre 2025 | Cisco descubre la campaña de hacking dirigida a sus productos. |
| 17 de Diciembre 2025 | La compañía emite un aviso de seguridad público sobre la vulnerabilidad de día cero. |
Ante la ausencia de una solución permanente, la recomendación de Cisco para sus clientes es drástica. La portavoz de la compañía, Meredith Corley, indicó que «están investigando activamente el problema y desarrollando una solución permanente». Mientras tanto, la guía oficial es clara: «En caso de un compromiso confirmado, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia de los actores de amenazas del dispositivo». Esto implica borrar y reinstalar completamente el software de los productos afectados.
Perfil: Cisco Systems, Inc.
Cisco es un conglomerado tecnológico multinacional estadounidense que desarrolla, fabrica y vende hardware de redes, software, equipos de telecomunicaciones y otros servicios y productos de alta tecnología. Es uno de los pilares de la infraestructura de Internet y de las redes corporativas a nivel mundial.
- Sede: San José, California, EE. UU.
- Fundación: Diciembre de 1984 por Leonard Bosack y Sandy Lerner.
- Inversores Clave (Pública): The Vanguard Group, BlackRock, State Street Corporation.
- Web: Visitar sitio oficial
- Redes Sociales: LinkedIn, X (Twitter)
