Una intrusión atribuida a un actor estatal comprometió los sistemas de la empresa F5 Networks, revelando fallas no divulgadas y el robo del código fuente de sus productos BIG-IP. La Agencia de Ciberseguridad de los Estados Unidos advirtió de un riesgo “significativo” para redes federales y ordenó actualizaciones urgentes.
La compañía estadounidense F5 Networks, especializada en ciberseguridad y gestión de aplicaciones, confirmó que fue víctima de un ataque altamente sofisticado atribuido a un actor estatal. El incidente, descubierto el 9 de agosto de 2025, permitió a los atacantes mantener un acceso persistente y prolongado a entornos críticos de desarrollo, incluidos los sistemas de BIG-IP, su producto insignia utilizado para la entrega de aplicaciones y la gestión del tráfico en organizaciones de todo el mundo.
De acuerdo con la empresa, los intrusos exfiltraron partes del código fuente y detalles sobre vulnerabilidades no divulgadas, así como información de configuración e implementación de un número limitado de clientes. No obstante, F5 aseguró que no existe evidencia de explotación activa de las fallas ni de compromisos en su cadena de suministro de software. “A través de este acceso, se extrajeron ciertos archivos que contenían partes del código fuente de BIG-IP y datos sobre vulnerabilidades que estábamos investigando”, explicó la compañía en un comunicado presentado ante la Comisión de Bolsa y Valores (SEC).
El impacto del ataque encendió alarmas en el gobierno de los Estados Unidos, el cual, a través de la Agencia de Ciberseguridad e Infraestructura (CISA) emitió una directiva de emergencia dirigida a todas las agencias civiles federales de ese país, ordenando la aplicación inmediata de las actualizaciones publicadas por F5 y la presentación de informes detallados sobre sus despliegues de productos antes del 29 de octubre.
Según CISA, el acceso obtenido por el actor estatal representa una “amenaza cibernética significativa” para las redes gubernamentales. “Existe un riesgo inminente de explotación de vulnerabilidades en productos F5 para obtener acceso no autorizado a credenciales embebidas y claves de API”, advirtió la agencia. También alertó que este tipo de explotación podría permitir el movimiento lateral dentro de las redes, la exfiltración de datos sensibles y la instalación de accesos persistentes, lo que potencialmente derivaría en un compromiso total de los sistemas.
El subdirector ejecutivo de ciberseguridad de CISA, Nick Andersen, afirmó que “miles de dispositivos F5” operan actualmente en redes federales y destacó la urgencia de la medida. A su vez, la directora interina de la agencia, Madhu Gottumukkala, calificó de “alarmante” la facilidad con que estas vulnerabilidades podrían ser aprovechadas, instando también al sector privado a actualizar sus sistemas.
A través de un comunicado, F5 informó que, tras detectar la intrusión, implementó medidas de contención y refuerzo de seguridad que incluyeron la rotación de credenciales, la automatización de la gestión de parches y mejoras en la detección de amenazas. Asimismo, la empresa contrató a CrowdStrike, Mandiant, NCC Group e IOActive para auditar su entorno de desarrollo. Las revisiones hasta el momento no hallaron modificaciones maliciosas ni inserción de código no autorizado en sus productos.
Entre las medidas de apoyo, F5 ofrecerá a todos los clientes con soporte activo una suscripción gratuita a la plataforma Falcon EDR de CrowdStrike y una guía de caza de amenazas para reforzar la detección en sus entornos. F5también recomendó habilitar el registro remoto de eventos, monitorear intentos de inicio de sesión y verificar posibles exposiciones de interfaces de administración en Internet.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) coincidió en la evaluación de F5, indicando que no existen indicios de impacto directo en las redes de los clientes. Sin embargo, advirtió que la información robada podría permitir el desarrollo de nuevos exploits dirigidos a versiones antiguas o sin soporte de BIG-IP. F5 reconoció que la divulgación pública del incidente fue retrasada a solicitud del Departamento de Justicia de los Estados Unidos, que invocó una disposición especial de la SEC para evitar alertar prematuramente a los atacantes mientras se tomaban medidas para asegurar a las infraestructuras críticas del país. En su informe, la empresa subrayó que todas sus operaciones continúan funcionando con normalidad y que no se han detectado nuevos accesos no autorizados.