El miércoles, Cisco anunció que un grupo de hackers respaldado por el gobierno chino estaba explotando una falla de seguridad para atacar a clientes empresariales que utilizan algunos de los productos más populares de la compañía.
Cisco no ha dicho cuántos de sus clientes ya han sido pirateados o pueden estar ejecutando sistemas vulnerables. Ahora los investigadores de seguridad dicen que hay cientos de clientes de Cisco que potencialmente podrían ser pirateados.
Piotr Kijewski, director ejecutivo de la organización sin fines de lucro Shadowserver Foundation, que escanea y monitorea Internet en busca de campañas de piratería, dijo a TechCrunch que la escala del compromiso “parece ser de cientos en lugar de miles o decenas de miles”.
Kijewski dijo que la fundación no ve una actividad generalizada, presumiblemente porque “los ataques actuales están dirigidos a objetivos”.
Shadowserver tiene una página que rastrea la cantidad de sistemas en riesgo y vulnerables al error revelado por Cisco, oficialmente denominado CVE-2025-20393. La vulnerabilidad se denomina vulnerabilidad de día cero porque se descubrió antes de que la empresa tuviera tiempo de implementar parches. Al cierre de esta edición, India, Tailandia y Estados Unidos juntos tienen docenas de sistemas afectados dentro de sus fronteras.
Censys, una empresa de ciberseguridad que monitorea la actividad de piratería en línea, también está viendo un número limitado de clientes de Cisco afectados. Según una publicación de blog, Censys observó 220 puertas de enlace de correo electrónico de Cisco expuestas a Internet, uno de los productos que se sabe que es vulnerable.
Contáctenos
¿Tiene más información sobre esta campaña de piratería? Por ejemplo, ¿qué empresas fueron el objetivo? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, en Telegram y Keybase @lorenzofb, o por correo electrónico.
En su aviso de seguridad publicado a principios de esta semana, Cisco dijo que la vulnerabilidad existía en el software de varios productos, incluidos Secure Email Gateway y Secure Email and Web Manager.
Según Cisco, estos sistemas sólo son vulnerables si se puede acceder a ellos a través de Internet y la función de “cuarentena de spam” está activada. Según Cisco, ninguna de estas dos condiciones está habilitada de forma predeterminada, lo que explicaría por qué no parece haber tantos sistemas vulnerables en Internet, en términos relativos.
Cisco no respondió a una solicitud de comentarios sobre si la compañía podía confirmar las cifras obtenidas por Shadowserver y Censys.
El mayor problema de esta campaña de piratería es que no hay parches disponibles. Cisco recomienda a los clientes eliminar el dispositivo afectado y “restaurarlo a un estado seguro” para resolver cualquier violación de seguridad.
“En caso de un compromiso confirmado, restaurar los dispositivos es actualmente la única opción viable para eliminar el mecanismo de persistencia de los actores de amenazas del dispositivo”, escribió la compañía en su aviso.
Según Talos, el departamento de inteligencia de amenazas de Cisco, la campaña de piratería ha estado en curso desde “al menos finales de noviembre de 2025”.
About The Author
