CISA ordena a agencias federales eliminar dispositivos de red sin soporte de seguridad

Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una nueva Directiva Operativa Vinculante (Binding Operational Directive, BOD), que obliga a todas las agencias federales civiles a identificar y retirar de sus infraestructuras los dispositivos de red perimetrales que ya no reciben actualizaciones de seguridad por parte de sus fabricantes. Esta medida, de obligado cumplimiento, responde a la creciente explotación de vulnerabilidades en equipos obsoletos y sin soporte, utilizados habitualmente como vector de entrada en campañas de intrusión sofisticadas contra la Administración Pública y entidades críticas.

Contexto del Incidente o Vulnerabilidad

Durante los últimos años, los dispositivos de red situados en el perímetro de las organizaciones —como firewalls, VPN, proxies y routers— han sido blanco preferente de grupos de amenazas persistentes avanzadas (APT) y cibercriminales. Casos recientes, como la explotación masiva de vulnerabilidades en dispositivos Fortinet, SonicWall o Pulse Secure, han puesto de manifiesto el impacto potencial del uso de equipamiento sin soporte o “End-of-Life” (EOL). La directiva de CISA, bautizada como BOD 24-02, entra en vigor en un contexto marcado por el aumento de ataques a la cadena de suministro, la sofisticación de técnicas de explotación y la presión regulatoria para reforzar la ciberresiliencia de infraestructuras críticas.

Detalles Técnicos

La BOD 24-02 obliga a todas las agencias federales a:

– Identificar y hacer inventario de los dispositivos de red perimetrales que ya no reciben actualizaciones de seguridad.
– Iniciar su retirada o segmentación en un plazo máximo de 12 meses desde la declaración EOL del fabricante.
– Notificar a CISA la existencia de cualquier excepción debidamente justificada.
– Garantizar que ningún dispositivo EOL expuesto a Internet permanezca operativo más allá del plazo estipulado.

Este mandato afecta a una amplia gama de equipos: firewalls (Fortinet FortiGate, Cisco ASA, Palo Alto Networks, Check Point), gateways VPN (Pulse Secure, SonicWall, Citrix NetScaler, Cisco AnyConnect), proxies inversos, balanceadores de carga y routers de borde, entre otros.

El vector de ataque más común asociado a estos dispositivos EOL es la explotación de vulnerabilidades conocidas (CVE) pero sin parches disponibles, muchas de ellas catalogadas como críticas (CVSS > 9). Grupos como APT5, APT41, BlackTech o Volt Typhoon han empleado técnicas de explotación remota (MITRE ATT&CK: T1190 – Exploit Public-Facing Application), escalada de privilegios (T1068) y persistencia mediante webshells (T1505.003) o backdoors personalizados.

Entre los IoC más relevantes destacan direcciones IP maliciosas, hashes de binarios modificados, artefactos de Cobalt Strike Beacon, así como patrones de tráfico anómalo hacia infraestructuras de comando y control.

Impacto y Riesgos

Según datos de CISA y del FBI, más del 60% de las intrusiones en entornos federales durante 2023 se originaron a través de dispositivos de red vulnerables o sin soporte. El uso de equipos EOL incrementa el riesgo de:

– Compromiso inicial y movimiento lateral indetectado.
– Filtración de datos clasificados o sensibles.
– Interrupción de servicios críticos (DoS) y chantaje mediante ransomware.
– Incumplimiento de marcos regulatorios (GDPR, NIS2, FISMA) y consecuencias económicas derivadas de sanciones.

El impacto económico directo por incidentes asociados a dispositivos obsoletos en organismos federales se estima en más de 200 millones de dólares anuales, sin contar daños reputacionales o costes de recuperación.

Medidas de Mitigación y Recomendaciones

Además de la retirada forzosa dictada por la BOD 24-02, se recomienda a los responsables de seguridad (CISOs) y equipos SOC:

– Mantener inventarios actualizados de activos y su ciclo de vida.
– Priorizar la segmentación de dispositivos EOL hasta su sustitución.
– Implementar monitorización continua de logs y tráfico perimetral (con soluciones SIEM y NDR).
– Desplegar mecanismos de defensa en profundidad (Zero Trust, MFA, microsegmentación).
– Revisar y actualizar los procedimientos de respuesta ante incidentes relacionados con dispositivos perimetrales.
– Garantizar la formación continua de administradores y operadores en nuevas amenazas y técnicas TTP.

Opinión de Expertos

Especialistas del sector consideran que esta directiva marca un antes y un después en la estrategia de gestión de activos críticos. Según John Kindervag, creador del modelo Zero Trust: “El perímetro clásico ha muerto; mantener dispositivos sin parchear o EOL en el borde de la red es abrir la puerta a cualquier atacante con un exploit público y un escáner automatizado”. Por su parte, analistas de Mandiant y CrowdStrike subrayan que la automatización del reconocimiento y explotación de dispositivos obsoletos es ya una práctica generalizada en operaciones de ciberespionaje y ransomware.

Implicaciones para Empresas y Usuarios

Aunque la BOD 24-02 se dirige a organismos federales estadounidenses, sienta un precedente para entidades del sector privado y administraciones de otros países, especialmente en el marco de la directiva NIS2 y la futura normativa europea sobre ciberresiliencia (CRA). Las empresas deben anticipar auditorías más estrictas sobre la gestión de dispositivos de red y la necesidad de justificar la permanencia de equipos sin soporte bajo riesgo de sanción.

Conclusiones

La eliminación forzosa de dispositivos de red EOL en infraestructuras federales representa un paso necesario para limitar la superficie de exposición y reducir el éxito de ataques dirigidos. Este movimiento obliga a las organizaciones a adoptar una visión proactiva en la gestión del ciclo de vida de sus activos críticos, y anticipa un endurecimiento regulatorio en otros sectores y jurisdicciones. La resiliencia perimetral pasa, definitivamente, por la eliminación sistemática de todo equipo obsoleto y no soportado.

(Fuente: www.bleepingcomputer.com)