Cientos de clientes de Cisco son vulnerables a una nueva campaña de hackers

El 19 de diciembre de 2025, Cisco advirtió que un grupo de hackers respaldados por el gobierno chino estaba explotando una vulnerabilidad en algunos de sus productos más populares, lo que pone en riesgo a sus clientes empresariales. Aunque la empresa no especificó cuántos de sus clientes han sido afectados, investigadores de seguridad estimaron que hay cientos de clientes de Cisco que podrían estar en peligro.

Piotr Kijewski, director ejecutivo de la organización sin fines de lucro Shadowserver Foundation, que monitorea campañas de hacking en internet, comentó que la magnitud de la exposición "parece estar más en los cientos que en miles o decenas de miles". Kijewski agregó que no se observaba una actividad generalizada, presumiblemente porque "los ataques actuales son dirigidos".

Shadowserver tiene una página donde rastrea el número de sistemas expuestos y vulnerables a la falla divulgada por Cisco, oficialmente denominada CVE-2025-20393. Esta vulnerabilidad es conocida como un zero-day, ya que fue descubierta antes de que la empresa tuviera tiempo de lanzar parches. Hasta el momento, se han identificado sistemas afectados en India, Tailandia y los Estados Unidos.

La firma de ciberseguridad Censys también ha detectado un número limitado de clientes de Cisco afectados. Según un post en su blog, Censys ha observado 220 puertas de enlace de correo electrónico de Cisco expuestas a internet, uno de los productos conocidos por ser vulnerables.

En su aviso de seguridad publicado recientemente, Cisco indicó que la vulnerabilidad está presente en el software de varios productos, incluyendo su Secure Email Gateway y su Secure Email and Web Manager. La empresa aclaró que estos sistemas solo son vulnerables si son accesibles desde internet y tienen habilitada la función de "cuarentena de spam". Ninguna de estas condiciones está habilitada por defecto, lo que podría explicar por qué no hay tantos sistemas vulnerables en internet.

Cisco no respondió a una solicitud de comentarios sobre si podía corroborar los números observados por Shadowserver y Censys. El problema más grave de esta campaña de hacking es que no hay parches disponibles. Cisco recomendó a sus clientes limpiar y "restaurar un dispositivo afectado a un estado seguro" como forma de remediar cualquier brecha.

En su aviso, la compañía escribió: "En caso de confirmarse un compromiso, reconstruir los dispositivos es, actualmente, la única opción viable para erradicar el mecanismo de persistencia de los actores de amenazas en el dispositivo". Según la unidad de inteligencia de amenazas de Cisco, Talos, la campaña de hacking ha estado en curso desde "al menos finales de noviembre de 2025".

Temas