¿Alguna vez te has preguntado qué sucede cuando los atacantes se infiltran discretamente en los sistemas de seguridad de las empresas sin ser detectados durante semanas? Descubre cómo Cisco reaccionó a tal infiltración publicando una actualización crítica para proteger a sus clientes de los hackers vinculados a China.
Las 3 informaciones que no te puedes perder
Los analistas de Cisco Talos detectaron anomalías en algunos equipos de clientes, revelando conexiones administrativas desconocidas. Estos accesos no autorizados fueron facilitados por un defecto de software identificado bajo el número CVE-2025-20393.
Los atacantes pudieron infiltrarse en los sistemas sin proporcionar credenciales válidas, instalando accesos persistentes. Crearon cuentas, modificaron archivos del sistema e integraron scripts capaces de sobrevivir a los reinicios. Esta infiltración tenía como objetivo establecer una presencia estable en lugar de una intrusión temporal.
Cisco reaccionó rápidamente publicando una actualización de seguridad para cortar el acceso a los hackers. Sin embargo, la corrección de la falla no eliminaba los accesos ya creados. Las empresas tuvieron que verificar sus configuraciones e inspeccionar los registros de actividad.
Los equipos informáticos a menudo descubrieron cuentas o tareas programadas sin un origen claro, lo que a veces requería una reinstalación completa de los sistemas para restaurar un entorno saludable.
Los equipos de mensajería, esenciales en el día a día de las empresas, tuvieron que ser detenidos temporalmente para mantenimiento. Esto requirió una coordinación minuciosa para minimizar el impacto en los usuarios.
Esta situación puso de manifiesto una debilidad organizativa: la vigilancia insuficiente de los equipos intermedios, a menudo descuidados cuando funcionan sin incidentes aparentes.
Las operaciones de piratería fueron atribuidas al grupo UAT-9686, conocido por sus métodos de acceso discreto y prolongado, ya observados en otras campañas vinculadas a China. Cisco basó esta atribución en elementos técnicos como los métodos utilizados, los horarios de actividad y ciertas infraestructuras.
Este grupo se destacó por su capacidad para explotar vulnerabilidades de software para acceder sin autorización a los sistemas objetivo, subrayando la importancia para las empresas de mantener una vigilancia constante y actualizar regularmente sus sistemas de seguridad.