Investigadores confirmaron la presencia del malware identificado como Firestarter en dispositivos Cisco ASA y Firepower dentro de una red federal estadounidense, destacando su capacidad para sobrevivir actualizaciones y parches, lo que genera preocupación por su persistencia y técnicas avanzadas de evasión.
Un conjunto de reportes de seguridad reveló la detección del malware Firestarter en equipos de red Cisco utilizados dentro de una agencia federal en los Estados Unidos. El caso fue documentado a partir de un análisis técnico realizado por la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA), con apoyo del Centro Nacional de Ciberseguridad del Reino Unido (NCSC), a partir de la identificación de actividad sospechosa en dispositivos reales.
Según los antecedentes, CISA detectó el malware durante labores de monitoreo en redes federales, lo que permitió iniciar una investigación más profunda sobre el comportamiento del implante en equipos Cisco ASA y Cisco Firepower, utilizados como firewalls para proteger redes internas.
En el reporte se concluye que el incidente expone una situación poco habitual, dado que el software malicioso no solo logró infiltrarse en un firewall, sino que además pudo mantenerse activo incluso después de que se aplicaran actualizaciones de seguridad. En los análisis se describe como un “backdoor persistente”, lo que implica que permite mantener acceso remoto al sistema comprometido durante un periodo prolongado.
Es precisamente su resistencia a las medidas tradicionales de mitigación lo que ha comenzado a genera alarma entre la comunidad de ciberseguridad, algo que destacaron todos los medios que dieron cobertura al reporte. De acuerdo con las conclusiones de CISA, el malware puede seguir operando pese a la aplicación de parches o actualizaciones del sistema, y al “sobrevivir actualizaciones del firewall” dificulta su eliminación mediante procedimientos estándar.
Los análisis técnicos también indican que Firestarter está diseñado para operar de forma encubierta dentro del dispositivo comprometido, evitando ser detectado mientras mantiene acceso activo. Esto abre la posibilidad de que un atacante permanezca dentro de la red afectada durante largos periodos, con capacidad potencial de acceder a información o desplazarse hacia otros sistemas conectados.
El hecho de que el malware haya sido identificado en un firewall aumenta la gravedad del incidente, ya que estos equipos cumplen un rol central en la protección de redes. Su compromiso puede debilitar significativamente las defensas de una organización, especialmente en entornos sensibles como agencias gubernamentales.
En paralelo a la alerta de la agencia federal, Cisco publicó un aviso de seguridad sobre el malware Firestarter que contiene medidas de mitigación y soluciones alternativas para eliminar el mecanismo de persistencia. En el documento también se comparten indicadores de compromiso para descubrir la presencia de Firestarter.
Además del trabajo de CISA y NCSC, los reportes recogen un análisis de Cisco Talos respecto a esta amenaza, el que permite comprender mejor el comportamiento del malware y sus mecanismos de persistencia, incluyendo su capacidad para mantenerse activo tras reinicios y procesos de actualización.
Este escenario desafía la dependencia de procesos de actualizaciones automáticas para resolver este tipo de incidentes y sugiere realizar revisiones más profundas de los equipos afectados y, en algunos casos, reinstalar completamente los sistemas para asegurar la eliminación del malware.