Cisco ha confirmado recientemente que una vulnerabilidad crítica, identificada como CVE-2018-0171, ha sido explotada por el grupo de ciberespionaje chino conocido como Salt Typhoon. Esta brecha en los routers de la compañía permitió a los atacantes infiltrarse en las redes de telecomunicaciones en Estados Unidos, manteniendo el acceso durante un largo período de tiempo. Según las investigaciones, los atacantes pudieron manipular las configuraciones de red, creando cuentas locales y habilitando accesos remotos para llevar a cabo una exfiltración de datos sin ser detectados.
Salt Typhoon es un actor de amenazas avanzado (APT) que ha demostrado una asombrosa capacidad para mantenerse oculto en las redes comprometidas, con algunos incidentes de infiltración que se extendieron por más de tres años. A diferencia de otros grupos de cibercriminales, este grupo ha adoptado tácticas menos ruidosas, aprovechando las credenciales legítimas robadas y las técnicas de "living-off-the-land" (LOTL). Este enfoque les permite moverse lateralmente dentro de las redes sin generar alertas en los sistemas de monitoreo, lo que aumenta la duración de sus ataques.
La vulnerabilidad CVE-2018-0171, que afecta principalmente a dispositivos Cisco como routers y switches, ha sido una puerta de entrada ideal para los atacantes. Aunque la vulnerabilidad fue parcheada en 2018, Salt Typhoon aprovechó la falta de actualizaciones en muchas de las redes de telecomunicaciones para seguir explotándola. La persistencia del grupo y su habilidad para operar con discreción resalta la creciente sofisticación de las amenazas cibernéticas en el ámbito de la infraestructura crítica.
El uso de técnicas de ataque avanzadas y el acceso prolongado a las redes comprometidas subraya la importancia de mantener actualizados los sistemas de seguridad y de adoptar un enfoque más robusto para la protección de infraestructuras esenciales. A medida que los atacantes siguen perfeccionando sus métodos, es fundamental que las empresas y los gobiernos inviertan en soluciones de seguridad más avanzadas para prevenir este tipo de intrusiones.
