Fin del soporte, fin de la seguridad: la tolerancia cero de CISA ante dispositivos obsoletos en redes federales

Al amanecer en Washington, se libra una carrera silenciosa pero de alto riesgo - una que podría decidir el destino de algunos de los activos digitales más sensibles de Estados Unidos. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) acaba de lanzar una advertencia: las agencias federales deben eliminar los “dispositivos perimetrales” envejecidos antes de que los hackers lo hagan por ellas. El reloj avanza, y las consecuencias de la demora podrían ser catastróficas.

La directiva, conocida como Directiva Operativa Vinculante 26-02, no es una simple sugerencia - es un ultimátum. Se ha ordenado a las agencias identificar cada pieza de hardware perimetral (piense en routers, cortafuegos y switches) que haya alcanzado el estado de “fin de soporte”, es decir, que el fabricante original ya no emite actualizaciones de seguridad. Los dispositivos en esta lista se han convertido en el equivalente digital de puertas sin llave en un mal vecindario. Y los atacantes saben exactamente dónde buscar.

Según CISA, la amenaza no es hipotética. La “explotación inminente” ya es una realidad, con actores de amenazas avanzadas apuntando activamente a estos dispositivos obsoletos. La agencia señala campañas de hacking generalizadas - a menudo por parte de actores estatales - que aprovechan vulnerabilidades recién descubiertas que nunca serán corregidas. Una vez dentro, los atacantes pueden saltar a sistemas más profundos y críticos, poniendo en riesgo los datos y operaciones federales.

Bajo la BOD 26-02, las agencias tienen solo tres meses para catalogar todos los dispositivos sin soporte. Si un dispositivo aún cuenta con soporte técnico pero ejecuta software desactualizado, las actualizaciones deben aplicarse de inmediato. Los dispositivos que quedaron sin soporte antes de la emisión de la directiva deben ser retirados en el plazo de un año; el resto tiene un plazo de 18 meses. La directiva también exige que las agencias desarrollen procesos de “descubrimiento continuo”, asegurando que las nuevas brechas de seguridad se detecten antes de que se conviertan en puntos de entrada para atacantes.

No es la primera vez que CISA da la voz de alarma. En 2023, una directiva similar apuntó a interfaces de gestión mal configuradas, y se implementaron nuevos sistemas de alerta para advertir a operadores de infraestructuras críticas sobre hardware vulnerable a ransomware. Pero esta última medida es la más amplia hasta la fecha, reflejando un reconocimiento creciente de que los dispositivos viejos y olvidados son ahora un vector favorito para los ciberataques.

El mensaje es claro: en el panorama actual de amenazas, la complacencia es el enemigo. Mientras las agencias federales se apresuran a cumplir, la nueva postura agresiva de CISA podría sentar un precedente también para los defensores del sector privado. La era del “instalar y olvidar” en redes ha terminado - si no retira su perímetro obsoleto, podría estar invitando al adversario a entrar.

WIKICROOK

• Dispositivo perimetral: Un dispositivo perimetral es un hardware, como un router o cortafuegos, que conecta redes privadas a Internet y actúa como una barrera clave de seguridad.
• Fin: El cifrado de extremo a extremo es un método de seguridad en el que solo el remitente y el destinatario pueden leer los mensajes, manteniendo los datos privados frente a proveedores de servicios y hackers.
• Directiva Operativa Vinculante (BOD): Una Directiva Operativa Vinculante es una orden obligatoria de CISA que requiere que las agencias federales de EE. UU. aborden amenazas cibernéticas específicas en un plazo determinado.
• Descubrimiento continuo: El descubrimiento continuo es un proceso que detecta, inventaría y monitorea de forma constante los dispositivos y software de red para identificar riesgos y activos obsoletos en tiempo real.
• Actor de amenaza avanzada: Los actores de amenazas avanzadas son hackers expertos, a menudo vinculados a estados o al crimen, que emplean técnicas sofisticadas para atacar y comprometer sistemas críticos.