Los equipos de seguridad y los gestores de redes tienen un nuevo motivo para revisar con urgencia sus cortafuegos: el grupo de ransomware conocido como Interlock ha estado aprovechando una vulnerabilidad de ejecución remota de código (RCE) en el software Cisco Secure Firewall Management Center (FMC) antes de que la corrección pública estuviera disponible.
Según la telemetría publicada por el equipo de inteligencia de Amazon, la explotación activa de este fallo comenzó a finales de enero de 2026, mucho antes de que Cisco hiciera pública la solución. El hallazgo de Amazon indica que los atacantes contaban con un exploit funcional al menos desde el 26 de enero, lo que les dio una ventaja para comprometer sistemas antes de que los defensores supieran exactamente qué buscar. Puede consultarse el informe de Amazon para más contexto y detalles técnicos en su blog de seguridad: Amazon Threat Intelligence.
Cisco lanzó el parche el 4 de marzo de 2026 y acompañó la actualización con un aviso en el que describe la vulnerabilidad catalogada como CVE-2026-20131. La compañía advirtió que, en dispositivos sin parchear, un atacante no autenticado podría ejecutar código Java arbitrario con privilegios de root a través de la interfaz web del FMC. La propia nota de Cisco con las recomendaciones y la descarga de actualización está disponible en su centro de seguridad: Cisco Security Advisory. Para datos técnicos estándar y seguimiento del CVE, el registro del NVD ofrece una entrada pública: NVD · CVE-2026-20131.
Interlock no es un actor menor: emergió públicamente en septiembre de 2024 y ha sido relacionado con otras campañas previas que incluyeron la distribución de troyanos de acceso remoto, como NodeSnake, y ataques a universidades del Reino Unido. El grupo se ha atribuido incidentes de alto perfil contra organizaciones del sector salud y la educación, entre otras víctimas. Además, investigadores de IBM X-Force han señalado la aparición de una nueva carga maliciosa asociada al grupo, apodada Slopoly, que posiblemente incorpore herramientas basadas en inteligencia artificial generativa para ampliar sus capacidades de ataque.
La combinación de un exploit de día cero y un objetivo tan sensible como la consola de gestión de cortafuegos plantea un riesgo elevado. El FMC es precisamente el punto desde el que se controla la política de seguridad de la red; lograr ejecución remota con privilegios de root permite a un atacante desactivar reglas, desplegar rutas maliciosas, o moverse lateralmente con relativa libertad. Es el tipo de acceso que convierte una brecha en un incidente de alcance mayor en muy poco tiempo.
Las investigaciones recientes muestran además que Cisco ha tenido que responder a varios fallos explotados en entornos productivos en lo que va de año, lo que subraya la presión a la que están sometidos tanto los fabricantes como los equipos internos de seguridad. En este escenario, la ventana entre descubrimiento y explotación puede ser muy corta, y los adversarios se benefician de cada día que un parche no es aplicado en entornos críticos.
Para los responsables de infraestructura que administran Cisco FMC, la recomendación inmediata es clara: aplicar las actualizaciones oficiales proporcionadas por Cisco y seguir las guías del aviso de seguridad. Más allá del parche, conviene revisar los accesos a la consola de gestión, restringir su exposición a Internet, aplicar segmentación de red para aislar el FMC y analizar los registros en busca de actividad sospechosa previa al parche. En escenarios donde la corrección inmediata no sea posible, mitigar la exposición y vigilar señales de compromiso puede marcar la diferencia.
Hay otra lección estratégica: los atacantes se están moviendo rápido y, en algunos casos, aprovechando capacidades ampliadas por herramientas automatizadas o basadas en IA para crear y adaptar malware. Esto incrementa la necesidad de defensa en profundidad, telemetría centralizada y ejercicios de respuesta a incidentes que consideren la posibilidad de compromisos iniciales a través de sistemas de gestión.
Finalmente, la comunidad de seguridad y los proveedores deben mantener una comunicación fluida. El caso de Amazon detectando explotación previa y compartiendo esa información con Cisco para acelerar la respuesta es un ejemplo de colaboración que ayuda a reducir el impacto. La coordinación entre detectores, proveedores y operadores es hoy tan crucial como nunca.
Si gestionas un Cisco Secure FMC, revisa cuanto antes el aviso de Cisco y las indicaciones de mitigación, y considera auditar tu entorno en busca de signos de actividad anómala en las fechas previas a la publicación del parche. Los recursos oficiales mencionados en este artículo son un buen punto de partida para actuar con rapidez: Aviso de seguridad de Cisco, el informe de Amazon sobre la campaña: Amazon Threat Intelligence, y la ficha pública del CVE: NVD · CVE-2026-20131.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...