CISA ordena la retirada masiva de dispositivos de red obsoletos para blindar al gobierno de EE. UU. ante el ciberespionaje
WASHINGTON D.C. – En una medida drástica para frenar la creciente ola de ataques de estados-nación, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos ha emitido una nueva Directiva Operativa Vinculante (BOD 26-02). La orden exige a todas las agencias civiles federales identificar y eliminar de sus redes todos los dispositivos de borde ("edge devices") que ya no cuenten con soporte técnico o actualizaciones de seguridad de sus fabricantes.
Un cambio de táctica en el ciberespionaje estatal
La decisión de CISA responde a un cambio fundamental en el panorama de amenazas. Según la agencia, actores de amenazas persistentes avanzadas (APT), a menudo vinculados a gobiernos extranjeros, han dejado de centrarse exclusivamente en computadoras individuales para atacar la infraestructura de red, como routers, firewalls, balanceadores de carga y gateways VPN.
Al explotar dispositivos que ya no reciben parches de seguridad (conocidos como "End-of-Support" o EoS), los atacantes logran establecer una presencia persistente e invisible dentro de las redes gubernamentales, facilitando el robo de datos a gran escala sin activar las alarmas de los antivirus convencionales.
Puntos clave de la Directiva BOD 26-02
La directiva establece plazos estrictos y acciones obligatorias para las agencias federales:
Plazo de ejecución: Las agencias tienen un periodo de 12 a 18 meses para retirar y reemplazar por completo los equipos obsoletos.
Lista de dispositivos críticos: CISA ha publicado un repositorio preliminar de dispositivos que ya han alcanzado el fin de su vida útil o están próximos a hacerlo, incluyendo nombres de productos y versiones específicas.
Gestión del ciclo de vida: Se exige a las instituciones implementar procesos más rigurosos para rastrear cuándo sus equipos dejarán de recibir soporte, evitando que el "deuda técnica" se convierta en una vulnerabilidad nacional.
Declaraciones oficiales
"Los dispositivos sin soporte representan un riesgo crítico para los sistemas federales y nunca deben permanecer en las redes empresariales", afirmó Madhu Gottumukkala, director interino de CISA. "Esta medida es esencial para reducir nuestra superficie de ataque y garantizar que los actores estatales no utilicen nuestra propia infraestructura contra nosotros".
Impacto en el sector privado
Aunque la directiva es obligatoria solo para el Poder Ejecutivo Civil Federal (FCEB), CISA insta a las organizaciones del sector privado y a los operadores de infraestructuras críticas a seguir este ejemplo. El mensaje es claro: en un entorno donde el hardware de red es el nuevo campo de batalla, mantener equipos "zombis" (sin actualizaciones) es una invitación abierta para el compromiso sistémico.
Esta acción refuerza la postura de "Seguro por Diseño" que el gobierno estadounidense ha estado promoviendo, priorizando la resiliencia de la infraestructura física sobre la que transita la información más sensible del país.