Mandiant, la división de inteligencia de amenazas de Google, reveló los detalles técnicos de un ataque que explotó una falla en Cisco Catalyst SD-WAN Manager, el sistema que administra las redes empresariales distribuidas de Cisco para obtener acceso root (control total) en los equipos afectados. La falla, registrada como CVE-2026-20245 con puntuación 7.8/10, fue explotada al menos dos meses antes de que Cisco la hiciera pública.
¿Por qué importa para tu empresa? Cisco SD-WAN es la columna vertebral de red de miles de empresas en México y Latinoamérica. Si tu empresa opera sucursales conectadas, oficinas remotas o usa un proveedor de telecomunicaciones que administra tu red con equipos Cisco, esta falla pudo haber sido usada para modificar la configuración de tu red sin que nadie lo notara. Los atacantes no solo tomaron control del equipo central: según el aviso de seguridad de Cisco, también empujaron cambios de configuración a los dispositivos de borde, es decir, a los equipos que conectan cada oficina con el mundo exterior.
El ataque funcionó así: los atacantes subieron un archivo CSV manipulado al sistema de administración. Ese archivo explotó una validación insuficiente en la función de carga de archivos para inyectar comandos y crear una cuenta invisible con privilegios de administrador total. Después, borraron todas las evidencias de su actividad, restaurando archivos originales para que ningún administrador notara el cambio. Mandiant reportó que los atacantes incluso ejecutaron un script de verificación para asegurarse de que no quedara rastro.
Qué hacer ahora:
Pregunta a tu proveedor de red o equipo de TI si tu infraestructura incluye Cisco Catalyst SD-WAN Manager. Si la respuesta es sí, solicita que actualicen a las versiones corregidas (20.9.9.2, 20.12.7.2, 20.15.4.5 o posteriores) esta semana, no este mes.
Revisa si existen conexiones de red no autorizadas o cuentas de usuario desconocidas en tus equipos de red. Mandiant publicó indicadores de compromiso que tu equipo técnico puede usar para verificar si hubo actividad sospechosa.
Si no cuentas con un proceso de gestión de vulnerabilidades o monitoreo continuo, esta es la señal de alerta: el 54% de los ataques exitosos pasan desapercibidos por los sistemas de detección. Un ciclo básico de revisión como actualizar servidores el segundo miércoles de cada mes reduce drásticamente la exposición.
¿Quieres saber si tu infraestructura de red está expuesta? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com