💡 Resumen (TL;DR):
- Amazon reveló que el grupo Interlock usó vulnerabilidades críticas contra infraestructura de red de Cisco.
- Los atacantes explotaron la falla CVE-2026-20131 durante 36 días antes de que el fabricante emitiera un parche oficial.
- Agencias internacionales de ciberseguridad ordenaron actualizaciones obligatorias en un plazo de 24 horas.
El equipo de inteligencia de amenazas de Amazon reveló que la operación de ransomware Interlock atacó infraestructura de red de Cisco utilizando vulnerabilidades no documentadas (zero-day). Los atacantes explotaron una falla crítica en los sistemas de gestión de firewalls durante más de un mes antes de que existiera una actualización oficial de seguridad.
La investigación descubrió que el grupo aprovechó la vulnerabilidad de máxima severidad CVE-2026-20131 en el software Cisco Secure Firewall Management Center. El ataque operó desde el 26 de enero de 2026, dándoles 36 días de ventaja antes de que el fabricante liberara un parche el 4 de marzo.
“Esto no fue solo otro exploit de vulnerabilidad, Interlock tenía un zero-day en sus manos, dándoles una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera qué buscar”, señaló CJ Moses, CISO de Amazon Integrated Security.
El descubrimiento ocurrió por un error técnico de los propios atacantes. Interlock configuró mal un servidor temporal y expuso su arsenal completo. El kit incluía troyanos de acceso remoto escritos en JavaScript y Java, scripts de reconocimiento e infraestructura para ocultar el origen de los ataques.
CVE-2026-20131 es una falla crítica que permite a atacantes no autenticados ejecutar código Java como superusuario (root) en los dispositivos afectados, abusando de la deserialización insegura de datos.
El grupo Interlock, activo desde septiembre de 2024, ya contaba con un historial de ataques contra organizaciones como DaVita, Kettering Health, el Sistema de la Universidad Tecnológica de Texas y la ciudad de Saint Paul. Tras el reporte de Amazon, Cisco confirmó los hallazgos y urgió a sus clientes a actualizar el software de inmediato.
Alerta global por fallos en SD-WAN
De forma paralela, Cisco y el Centro Australiano de Seguridad Cibernética documentaron el abuso de otra vulnerabilidad en controladores SD-WAN. Un actor de amenazas identificado como UAT-8616 explotó el bug CVE-2026-20127 desde al menos 2023, casi tres años antes de su descubrimiento formal.
- Los atacantes infiltraban los sistemas mediante fallas de autenticación.
- Degradaban el software para aprovechar una vulnerabilidad más antigua (CVE-2022-20775).
- Obtenían acceso root y restauraban la versión original para evadir la detección.
La crisis escaló a principios de marzo cuando Cisco confirmó la explotación activa de dos fallas adicionales: CVE-2026-20128 y CVE-2026-20122. Ante esto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) obligó a las agencias federales a aplicar parches en menos de 24 horas.
“El intento de explotación por parte de UAT-8616 indica una tendencia continua de ataque a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluyendo sectores de Infraestructura Crítica”, advirtió la división Cisco Talos.
La alianza de inteligencia Five Eyes emitió una directiva de emergencia por los fallos en redes gubernamentales. El hardware perimetral es hoy el blanco prioritario de los grupos de ransomware para penetrar redes corporativas y operar sin ser detectados.
