Ciberataque a F5: Intrusión de Estado-nación impulsa acciones urgentes en empresas y gobiernos

En agosto de 2025, F5, líder en tecnología de redes y seguridad, detectó una intrusión sofisticada atribuida a un actor patrocinado por un Estado-nación. Los atacantes mantuvieron acceso persistente y prolongado a sistemas sensibles, logrando exfiltrar archivos con partes del código fuente de BIG-IP, así como información sobre vulnerabilidades no divulgadas en desarrollo. Según F5, la brecha fue descubierta el 9 de agosto y se notificó formalmente a la SEC bajo criterios de seguridad nacional.

Impacto, investigación y acciones inmediatas

F5 respondió conteniendo al actor, reforzando credenciales, monitoreando amenazas y contratando a expertos externos (CrowdStrike, Mandiant, NCC Group y IOActive). Los análisis independientes confirmaron que la infraestructura de desarrollo no fue manipulada y que los sistemas críticos (CRM, finanzas, iHealth y soporte) no fueron afectados. Sin embargo, una pequeña porción de clientes podría ver parte de su información de configuración expuesta, quienes serán avisados directamente por F5.

La empresa publicó actualizaciones urgentes para BIG-IP, F5OS, BIG-IP Next, BIG-IQ y APM, recomendando instalar los parches de inmediato para mitigar cualquier riesgo ante posibles ataques a vulnerabilidades anteriormente desconocidas. Se ofrece además una guía de caza de amenazas, recomendaciones de hardening y diagnósticos automáticos con la herramienta [F5 iHealth Diagnostic Tool] para detectar brechas y priorizar acciones correctivas.

Reacción del gobierno de EE.UU. y CISA

Ante el alcance global y gubernamental de F5, la Agencia de Ciberseguridad e Infraestructura (CISA) ha ordenado a todas las agencias federales inventariar y actualizar todos los productos de F5 antes del 22 de octubre. Los dispositivos sin soporte deberán desconectarse y reportarse antes del 3 de diciembre para evitar riesgos de compromiso, exfiltración de datos o persistencia de acceso por actores maliciosos. Según CISA, “el actor cibernético representa una amenaza inminente para las redes federales que emplean dispositivos y software F5”.

Los equipos de respuesta destacan que el robo de código fuente y vulnerabilidades sin parchear puede acelerar la explotación por parte de grupos avanzados, como advierte Michael Sikorski (Unit 42, Palo Alto Networks). Históricamente, fallos en F5 han sido explotados por grupos vinculados a China, subrayando la relevancia de la brecha actual.

Recursos y pasos recomendados

Actualiza inmediatamente BIG-IP y productos relacionados mediante los boletines de seguridad más recientes.
Utiliza la guía de caza de amenazas de F5 y las prácticas de hardening publicadas.
Integra logs y eventos críticos de BIG-IP en tu SIEM siguiendo la documentación técnica ([KB13080], [KB13426]).
Si eres cliente, consulta el diagnóstico iHealth para evaluar exposiciones y recibir asistencia directa del soporte F5.

Compromiso y perspectiva

F5 se compromete con la transparencia, refuerza su seguridad y asume el aprendizaje de esta brecha, trabajando con la comunidad y expertos para elevar el estándar en desarrollo seguro de productos. La coordinación multisectorial e internacional es clave ante el avance de amenazas de Estado-nación y el impacto en infraestructura crítica.

Etiquetas:

ciberataques, ciberseguridad, estado nación, F5 Big-IP, vulnerabilidades

Fecha:

15/10/2025

A continuación:

Antes: