Compruebe ahora sus dispositivos Cisco ASA: su red podría estar ya comprometida

Las principales agencias de todo el mundo advirtieron sobre una amenaza crítica para la infraestructura de red: se ha desatado una oleada de ataques que aprovechan vulnerabilidades en Cisco Adaptive Security Appliances (ASA) y Firepower. El motivo fue la orden de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que emitió «la Directiva de emergencia 25-03», que exige a todas las agencias civiles federales revisar y asegurar con urgencia sus dispositivos para detener una campaña a gran escala de atacantes.

El incidente está relacionado con la explotación de varias vulnerabilidades previamente desconocidas en sistemas de Cisco, que permiten ejecutar código arbitrario de forma remota sin autorización e incluso modificar la ROM para mantener el control después de reinicios y actualizaciones. Se vieron afectadas tanto ASA como Firepower Threat Defense.

La propia Cisco vincula el ataque con la campaña ArcaneDoor, detectada por primera vez en 2024. Parte de las protecciones Firepower modernas cuentan con Secure Boot, capaz de detectar manipulaciones; sin embargo, un número considerable de ASA sigue totalmente vulnerable.

La situación provocó repercusiones más allá de EE. UU. El organismo nacional francés CERT-FR publicó el boletín CERTFR-2025-ALE-013, confirmando que se explotan las vulnerabilidades CVE-2025-20333 y CVE-2025-20362 en distintas versiones de ASA y FTD. El Centro Australiano de Ciberseguridad ACSC recomendó a los propietarios de ASA 5500-X deshabilitar IKEv2 y SSL VPN hasta la publicación de parches. El Centro Canadiense de Ciberseguridad advirtió sobre la difusión mundial de un malware sofisticado, que resulta especialmente peligroso para equipos fuera de soporte.

La Directiva 25-03 regula detalladamente las acciones de las agencias estadounidenses. Hasta finales de septiembre, las organizaciones deben entregar volcados de memoria de todos los ASA accesibles públicamente a la CISA, desconectar y documentar cualquier dispositivo comprometido, actualizar todo el software e iniciar la retirada de los equipos cuyo soporte finaliza el 30 de septiembre de 2025.

Para los modelos cuyo soporte finaliza en agosto de 2026 se prescribe instalar cualquier actualización en un plazo de 48 horas desde su publicación. Hasta el 2 de octubre de 2025, todas las entidades están obligadas a proporcionar a la CISA un informe completo sobre el estado y las medidas adoptadas.

Estos requisitos afectan no solo al equipo gestionado directamente por las agencias federales, sino también a la infraestructura en servicios de terceros y en la nube, incluidos los proveedores FedRAMP. Las agencias siguen siendo responsables de cumplir las obligaciones en cualquier entorno. A quienes no dispongan de los recursos técnicos necesarios, la CISA ofreció asistencia de especialistas.

Además, el informe sobre el cumplimiento de la directiva se remitirá antes del 1 de febrero de 2026 al Departamento de Seguridad Nacional de EE. UU., al director nacional de ciberpolítica, a la OMB y a la oficina del CISO federal. Al mismo tiempo, se recomienda encarecidamente a las empresas privadas y extranjeras que realicen los mismos pasos de recopilación de volcados y búsqueda de compromisos para detectar posibles indicios de explotación.

Así, todo el ecosistema de Cisco ASA quedó en riesgo, incluidos los modelos obsoletos que no reciben actualizaciones. Las advertencias internacionales subrayan que se trata de un ataque global de gran alcance, capaz de dejar fuera de servicio sistemas críticos si no se toman medidas de inmediato.