Actores de amenazas de ransomware explotaron la vulnerabilidad CVE-2026-20131, un fallo de máxima gravedad en el software Cisco Secure Firewall Management Center, como una debilidad de día cero más de un mes antes de que Cisco la corrigiera.
La revelación es del CISO de Amazon, CJ Moses, quien en una publicación de blog el pasado18 de marzo, aseguró que “nuestra investigación reveló que Interlock estaba explotando esta vulnerabilidad 36 días antes de su divulgación pública, a partir del 26 de enero”.
Esta grave vulnerabilidad de seguridad permite a un atacante remoto no autenticado ejecutar código Java arbitrario como administrador en dispositivos vulnerables.
La explotación de vulnerabilidades de día cero en dispositivos Cisco ASA/FTD no es un riesgo meramente técnico; es una amenaza directa a la resiliencia operativa de la organización.
La capacidad de un atacante para lograr la ejecución de código remoto (RCE) o provocar una denegación de servicio (DoS) puede paralizar infraestructuras críticas en cuestión de minutos.
Para una organización dependiente de sus firewalls perimetrales, esto se traduce en una interrupción costosa, pérdidas financieras por falla de servicios, brechas de cumplimiento regulatorio y un daño reputacional que puede tardar años en repararse.
Índice de temas
¿Cómo detectó la red “MadPot” de Amazon el zero-day de Cisco 36 días antes?
Cisco publicó actualizaciones de software que solucionan la vulnerabilidad el pasado 4 de marzo, pero los atacantes ya llevaban ventaja.
Amazon detectó a los intrusos en su red de señuelos (honeypots) MadPot, que registró el tráfico de exploits vinculado a la infraestructura de Interlock.
Además —y esto resultó muy útil para los defensores de la red—, el equipo de inteligencia sobre amenazas también detectó un servidor de infraestructura mal configurado que dejaba al descubierto el kit de herramientas de explotación de Interlock.
Interlock es un grupo de ransomware que surgió en 2025 y desde entonces ha infectado hospitales y centros médicos, incluyendo la empresa de diálisis renal Davita y Kettering Health, donde los delincuentes no solo interrumpieron sesiones de quimioterapia y citas preoperatorias, sino que también filtraron información confidencial de pacientes con cáncer en línea.
Este grupo criminal también afirmó haber robado 43 GB de archivos de la ciudad de Saint Paul durante el verano, lo que obligó a la capital de Minnesota a declarar el estado de emergencia.
Guía de mitigación: ¿Cómo proteger infraestructuras críticas de la vulnerabilidad de Cisco?
Ante la vulnerabilidad de Cisco, para garantizar la integridad de la red, se debe supervisar las siguientes acciones prioritarias:
- Actualización inmediata: Desplegar con carácter de urgencia los parches para las vulnerabilidades críticas CVE-2025-20333 y CVE-2025-20362 en todos los sistemas ASA/FTD.
- Auditoría y análisis forense: No basta con parchar; es imperativo auditar dispositivos en busca de persistencia maliciosa, revisar logs anómalos y recolectar evidencias antes de cualquier reinicio de sistema.
- Higiene de red: Restringir protocolos vulnerables (deshabilitar SNMP público) y asegurar que el acceso administrativo (SSH) esté limitado exclusivamente a redes internas protegidas mediante TACACS+.
- Monitoreo de WebVPN: Implementar capas adicionales de detección de tráfico sospechoso específicamente en los servicios de acceso remoto, que han sido el vector principal de estos ataques.
¿Qué exige la Directiva de Emergencia 25-03 de CISA sobre los firewalls Cisco?
De acuerdo con la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA por sus siglas en inglés) de Estados Unidos, los grupos de ransomware se encuentran entre quienes explotan esta vulnerabilidad crítica.
Ese día por la noche, CISA añadió la vulnerabilidad CVE-2026-20131 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), indicó que se sabe que se utiliza en infecciones de ransomware y dio a las dependencias federales estadounidenses tres días para corregirla.
Al cierre de 2025, el catálogo de vulnerabilidades conocidas y explotadas (KEV) de CISA alcanzó las 1,484 entradas, superando las 1,239 registradas a finales de 2024 y reflejando un incremento neto aproximado de 20% tras la adición de 245 nuevas vulnerabilidades.
El año pasado, CISA priorizó vulnerabilidades de ejecución de código remoto (RCE) específicas en Cisco ASA/FTD y FortiGate/FortiWeb por su explotación activa en infraestructuras críticas, como se detalla en las directivas de emergencia (ED 25-03) y las adiciones al catálogo KEV.
El ecosistema de ciberseguridad actual está bajo un escrutinio regulatorio sin precedentes. La Directiva de Emergencia 25-03, emitida por CISA el 24 de septiembre de 2025, marca un hito en la gobernanza de riesgos al obligar a las dependencias federales de Estados Unidos a realizar análisis forenses profundos y recolección de dumps de memoria en todos los dispositivos Cisco ASA/FTD afectados.
En el sector privado, esta medida sirve como un estándar de facto: ignorar estas recomendaciones no solo aumenta el riesgo de brecha, sino que sitúa a la empresa fuera de las mejores prácticas de debida diligencia legal y técnica.
Respuesta de Cisco: agradece colaboración
Un portavoz de Cisco informó a The Register que actualizarán su boletín de seguridad para reflejar la explotación.
“Agradecemos la colaboración de Amazon en este asunto y hemos actualizado nuestro boletín de seguridad con la información más reciente. Instamos encarecidamente a los clientes a actualizar sus sistemas lo antes posible y a consultar nuestro boletín de seguridad para obtener más detalles y orientación”, comentó.
