«Lo más fácil es desenchufarlo»: en EE. UU. admiten impotencia ante un nuevo virus que afecta a Cisco
Ciberdelincuentes se instalaron en el corazón de la ciberdefensa estadounidense.
Una agencia estadounidense no identificada fue comprometida a través de una vulnerabilidad en equipos de red de Cisco, pero la historia no terminó ahí. Los atacantes se afianzaron dentro del sistema de tal manera que pudieron regresar seis meses después sin necesidad de un nuevo ataque.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó que el ataque ocurrió en septiembre de 2025 a través de dos vulnerabilidades en cortafuegos de Cisco. Se trata de CVE-2025-20333 y CVE-2025-20362 en dispositivos de la línea Cisco Adaptive Security Appliance. Tras acceder al sistema, los atacantes instalaron el malware FIRESTARTER, que mantenía acceso oculto al dispositivo incluso después de que se actualizara.
En marzo de 2026 los atacantes volvieron a conectarse al mismo dispositivo sin volver a explotar las vulnerabilidades. FIRESTARTER permitió mantener el acceso y evadir las medidas de protección. Al revisar los sistemas, los especialistas encontraron el malware en uno de los dispositivos Cisco Firepower que ejecutaba el software ASA.
Además, los atacantes utilizaron otra herramienta: Line Viper. Con ella crearon sesiones VPN no autorizadas que eludían todas las políticas de autenticación. A través de esas conexiones obtuvieron acceso completo al dispositivo, incluyendo credenciales de administradores, certificados y claves privadas.
Según la agencia, la infección ocurrió antes del 25 de septiembre de 2025, pero no se pudo determinar la fecha exacta. Incluso los dispositivos actualizados en los que los atacantes habían entrado antes de que se corrigieran las vulnerabilidades siguen en riesgo debido al código malicioso persistente. Los atacantes también usaron cuentas antiguas de empleados que formalmente existían pero ya no se utilizaban en el trabajo.
Las autoridades no nombran el país responsable del ataque. Sin embargo, Cisco había vinculado anteriormente estos ataques con la campaña ArcaneDoor, descubierta en 2024, atribuida a entidades estatales chinas.
La agencia publicó las nuevas recomendaciones conjuntamente con el Centro Nacional de Ciberseguridad del Reino Unido. En documentos separados se describen los métodos de los grupos Volt Typhoon y Flax Typhoon, que anteriormente se vinculaban con ataques contra organismos estatales e infraestructura crítica de EE. UU.
Se ordenó a las agencias federales de EE. UU. que inspeccionaran urgentemente sus sistemas en busca de FIRESTARTER y que informaran sobre los resultados. En algunos casos puede requerirse una medida drástica —desconectar físicamente el dispositivo de la alimentación— para eliminar por completo el código malicioso. Se subraya que las actualizaciones por sí solas no son suficientes: incluso los sistemas parcheados pueden seguir bajo control de los atacantes.