Alerta crítica de CISA: vulnerabilidad en VPN bajo ataque de ransomware
La Agencia de Seguridad de la Información y la Infraestructura (CISA) ha emitido una orden urgente a todas las agencias civiles del gobierno de los Estados Unidos, exigiendo que corrijan una brecha de seguridad en sus herramientas de acceso remoto antes del cierre del día miércoles. La medida surge ante la evidencia de que un grupo de ransomware, identificado como Qilin, está explotando activamente la vulnerabilidad para infiltrarse en redes gubernamentales y corporativas.
¿Qué es la falla y quién la está explotando?
Según el fabricante de seguridad Check Point Software, la debilidad afecta a varios productos de su catálogo, incluidos firewalls, VPN y otros sistemas de acceso remoto que funcionan como guardianes digitales de la infraestructura de TI. La empresa confirmó que el código malicioso de Qilin ha aprovechado este error para comprometer “decenas de organizaciones en todo el mundo” que dependen de esas soluciones. Los ataques comenzaron el 7 de mayo, pero la actividad se intensificó notablemente la semana pasada.
Respuesta de la CISA y el plazo impuesto
Ante el peligro inminente, la CISA activó su directriz operativa BOD 22‑01, que le otorga la facultad de dictar acciones de seguridad cuando exista una amenaza activa contra las redes del gobierno. La orden exige a entidades como el Departamento de Seguridad Nacional, el Departamento de Estado y el Departamento del Tesoro que eliminen cualquier instancia de los productos vulnerables antes del 11 de junio, a medianoche.
Impacto en agencias y empresas privadas
El alcance de la vulnerabilidad no se limita al sector público; numerosas compañías privadas utilizan los mismos componentes de Check Point en sus entornos de producción. La exposición prolongada podría traducirse en filtraciones de datos, interrupciones operativas y pérdidas económicas significativas. Además, el uso de la misma arquitectura en múltiples organizaciones amplifica el riesgo de contagio a gran escala.
Recomendaciones y pasos a seguir
Los expertos de ciberseguridad aconsejan a los responsables de TI que, de inmediato, identifiquen los activos afectados mediante escaneos de vulnerabilidad, apliquen los parches suministrados por el fabricante y refuercen la monitorización de los logs de acceso. Asimismo, se sugiere revisar las configuraciones de red, habilitar la autenticación multifactor y actualizar las políticas de gestión de contraseñas para minimizar la superficie de ataque.