Agencias de EE.UU. y Reino Unido alertan sobre puerta trasera en firewalls de Cisco que persiste tras actualizaciones

Un malware que desafía los parches de seguridad

Un grupo de ciberespionaje vinculado a un Estado ha logrado instalar una puerta trasera personalizada en firewalls y dispositivos de seguridad de red de Cisco, capaz de sobrevivir a actualizaciones de firmware y reinicios estándar. Así lo han confirmado las agencias de ciberseguridad de EE.UU. y Reino Unido, que han emitido una alerta conjunta este jueves.

El malware, bautizado como Firestarter por las autoridades, ha sido detectado en redes gubernamentales y de infraestructuras críticas desde, al menos, finales de 2025. La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) han publicado un informe detallado sobre esta amenaza, atribuyéndola a un actor conocido como UAT-4356.

Cisco Talos, la división de inteligencia de amenazas de Cisco, ya había vinculado a este grupo con la campaña de espionaje ArcaneDoor en 2024, que se centró en comprometer dispositivos de perímetro de red. Ahora, el descubrimiento de Firestarter marca un escalamiento significativo en sus operaciones.

Cómo opera la puerta trasera Firestarter

La principal preocupación radica en la capacidad de este malware para persistir en los dispositivos incluso después de aplicar los parches de seguridad que Cisco lanzó en septiembre de 2025. Esos parches corrían dos vulnerabilidades críticas:

• CVE-2025-20333: Un fallo de ejecución remota de código en el componente del servidor web VPN.
• CVE-2025-20362: Una vulnerabilidad de acceso no autorizado.

UAT-4356 explotó estas fallas para infiltrarse inicialmente en los sistemas. Sin embargo, según CISA, los dispositivos comprometidos antes de aplicar los parches podrían seguir albergando el malware.

Firestarter logra su persistencia mediante la manipulación de la lista de montaje de la plataforma de servicios de Cisco, un archivo de configuración que determina qué programas se ejecutan durante el arranque del dispositivo. Cuando el sistema recibe una señal de terminación o se reinicia, el malware se copia a una ubicación secundaria y reescribe la lista de montaje para restaurarse y relanzarse tras el reinicio. Un reinicio estándar no elimina la infección.

Solo un reinicio forzado —desconectando físicamente el dispositivo de la fuente de alimentación— es suficiente para eliminar el mecanismo de persistencia de la memoria, según advierten CISA y Cisco.

Una vez instalado, el malware inyecta un shellcode malicioso en LINA, el núcleo de red y firewall del software Adaptive Security Appliance y Firepower Threat Defense de Cisco. Desde allí, intercepta solicitudes de red normalmente utilizadas para autenticación VPN. Cuando una solicitud contiene una secuencia de activación oculta, ejecuta el código suministrado por los atacantes, otorgándoles acceso remoto al dispositivo.

Conexión con campañas anteriores

Cisco Talos ha señalado que Firestarter comparte similitudes técnicas significativas con otro malware documentado llamado RayInitiator, lo que sugiere un origen o desarrollo común dentro del arsenal de UAT-4356.

En el incidente analizado por CISA en una agencia federal de EE.UU., los atacantes primero desplegaron otro malware llamado Line Viper para obtener acceso a configuraciones, credenciales y claves de cifrado del dispositivo. Posteriormente, instalaron Firestarter antes de que se aplicaran los parches de Cisco en septiembre de 2025. Tras la actualización, el malware siguió activo, y los atacantes lo utilizaron para reinfectar el sistema.

Alerta urgente y medidas de contención

Tras el descubrimiento, CISA emitió una directiva de emergencia actualizada este jueves, exigiendo a todas las agencias federales civiles que:

• Auditen su infraestructura de firewalls Cisco.
• Envíen capturas de memoria de los dispositivos para su análisis antes del viernes.

Esta medida busca identificar y eliminar cualquier rastro de Firestarter o herramientas similares en los sistemas afectados. Las autoridades recomiendan a las organizaciones que utilicen firewalls Cisco revisar sus dispositivos y considerar un reinicio forzado como medida preventiva.

«La persistencia de este malware subraya la importancia de no solo aplicar parches, sino también de verificar la integridad de los sistemas tras cualquier actualización», declaró un portavoz de CISA.

Recomendaciones para organizaciones

Ante esta amenaza, los expertos en ciberseguridad recomiendan:

• Realizar un reinicio forzado en todos los dispositivos Cisco Firepower y ASA afectados.
• Analizar los registros de red en busca de conexiones sospechosas o actividades no autorizadas.
• Revisar las listas de montaje y configuraciones críticas para detectar manipulaciones.
• Implementar monitorización continua de la red para identificar comportamientos anómalos.
• Actualizar los sistemas con los últimos parches de seguridad de Cisco.