Un grupo de hackers patrocinado por el Estado chino está explotando una vulnerabilidad previamente desconocida –una falla de “día cero”– en varios productos populares de Cisco, poniendo en riesgo a cientos de clientes empresariales. La campaña, que ha estado activa desde al menos finales de noviembre de 2025, se dirige a sistemas con la función de cuarentena de spam habilitada y a los que se puede acceder desde Internet.
La vulnerabilidad y los productos afectados
La vulnerabilidad, oficialmente rastreada como CVE-2025-20393, existe dentro de Secure Email Gateway y Secure Email and Web Manager de Cisco. A diferencia de muchos exploits, este se descubrió antes de que Cisco pudiera lanzar un parche, dejando a las empresas con opciones inmediatas limitadas.
Explotación limitada y dirigida
Si bien Cisco no ha revelado el número exacto de sistemas comprometidos, investigadores independientes estiman que la exposición es “de cientos en lugar de miles”. Los ataques parecen muy dirigidos, más que generalizados, lo que sugiere un enfoque en organizaciones específicas de alto valor. Hasta esta semana, se han identificado decenas de sistemas afectados en India, Tailandia y Estados Unidos.
Censys, una empresa de ciberseguridad, ha observado que 220 puertas de enlace de correo electrónico de Cisco expuestas a Internet son vulnerables a la falla.
No hay parche disponible: se requiere una solución radical
El problema más crítico es la falta de un parche de software. Cisco aconseja a los clientes afectados que borren y reconstruyan completamente sus dispositivos como única forma garantizada de eliminar la amenaza.
“En caso de compromiso confirmado, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia de los actores de amenazas del dispositivo”.
Esta drástica medida pone de relieve la gravedad de la infracción. Los piratas informáticos no se limitan a robar datos; están estableciendo un acceso persistente, lo que hace necesaria una restauración completa del sistema para garantizar la seguridad.
Por qué esto es importante
Los exploits de día cero se encuentran entre las ciberamenazas más peligrosas porque eluden las defensas estándar. Las campañas de piratería de los Estados-nación, como ésta, suelen estar motivadas por el espionaje, el robo de propiedad intelectual o la alteración estratégica. El hecho de que los ataques estén dirigidos sugiere que se está dando prioridad a los clientes de Cisco en industrias o regiones geopolíticas específicas.
El incidente subraya la necesidad de contar con inteligencia proactiva sobre amenazas, una respuesta rápida a las vulnerabilidades y planes sólidos de recuperación de incidentes. También destaca el riesgo creciente de ataques a la cadena de suministro, donde las vulnerabilidades en el software ampliamente utilizado se convierten en puntos de apalancamiento para adversarios sofisticados.
La ausencia de un parche significa que las organizaciones deben recurrir a medidas extremas para proteger sus sistemas. Es probable que esta situación siga siendo volátil hasta que Cisco desarrolle y distribuya una solución.
