En octubre de 2025, la compañía estadounidense de ciberseguridad F5 reveló que actores de amenazas altamente sofisticados comprometieron sus sistemas y robaron archivos que contenían parte del código fuente de su plataforma BIG‑IP, así como información sobre vulnerabilidades no divulgadas. Según la empresa, el adversario mantuvo un acceso persistente y a largo plazo a la red de F5 y se trataba de un grupo vinculado a un Estado nación. F5 descubrió la intrusión el 9 de agosto de 2025 y retrasó el anuncio público a petición del Departamento de Justicia de Estados Unidos.
Qué ocurrió
Tras detectar el incidente, F5 contrató a Google Mandiant y CrowdStrike para contener la intrusión, rotó credenciales y certificados, reforzó los controles de acceso y mejoró su arquitectura de seguridad. La compañía no ha observado que las vulnerabilidades robadas se hayan explotado, pero reconoció que algunos archivos incluían información de configuración de clientes y notificará directamente a los afectados.
¿Por qué es importante?
La Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA) emitió una directiva de emergencia (ED 26‑01) que obliga a las agencias federales a inventariar sus dispositivos F5 BIG‑IP, comprobar si las interfaces de gestión son accesibles desde internet y aplicar los parches publicados por F5 antes del 22 de octubre de 2025. Según la CISA, los actores que robaron el código y las vulnerabilidades tienen una ventaja técnica para desarrollar exploits dirigidos. De hecho, expertos en amenazas advierten que el robo de código fuente permite encontrar fallos lógicos y vulnerabilidades de día cero más rápido, razón por la cual F5 ha publicado más de 45 parches en este trimestre, frente a solo 6 en el anterior.
Lecciones y recomendaciones
En octubre de 2025, la compañía estadounidense de ciberseguridad F5 reveló que actores de amenazas altamente sofisticados comprometieron sus sistemas y robaron archivos que contenían parte del código fuente de su plataforma BIG‑IP, así como información sobre vulnerabilidades no divulgadas. Según la empresa, el adversario mantuvo un acceso persistente y a largo plazo a la red de F5 y se trataba de un grupo vinculado a un Estado nación. F5 descubrió la intrusión el 9 de agosto de 2025 y retrasó el anuncio público a petición del Departamento de Justicia de Estados Unidos.
Qué ocurrió
Tras detectar el incidente, F5 contrató a Google Mandiant y CrowdStrike para contener la intrusión, rotó credenciales y certificados, reforzó los controles de acceso y mejoró su arquitectura de seguridad. La compañía no ha observado que las vulnerabilidades robadas se hayan explotado, pero reconoció que algunos archivos incluían información de configuración de clientes y notificará directamente a los afectados.
¿Por qué es importante?
La Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA) emitió una directiva de emergencia (ED 26‑01) que obliga a las agencias federales a inventariar sus dispositivos F5 BIG‑IP, comprobar si las interfaces de gestión son accesibles desde internet y aplicar los parches publicados por F5 antes del 22 de octubre de 2025. Según la CISA, los actores que robaron el código y las vulnerabilidades tienen una ventaja técnica para desarrollar exploits dirigidos. De hecho, expertos en amenazas advierten que el robo de código fuente permite encontrar fallos lógicos y vulnerabilidades de día cero más rápido, razón por la cual F5 ha publicado más de 45 parches en este trimestre, frente a solo 6 en el anterior.
Lecciones y recomendaciones
- Inventario y auditoría: Identifica todos los dispositivos F5 (BIG‑IP, F5OS, BIG‑IQ, APM) en tu red y verifica si las interfaces de administración están expuestas a internet, tal como recomienda la directiva de CISA.
- Aplicación de parches: Actualiza lo antes posible a las versiones más recientes de F5 para corregir las vulnerabilidades y desactivar las claves comprometidas.
- Endurecimiento y segmentación: Desconecta o reemplaza los dispositivos que hayan llegado a su fin de vida y refuerza las configuraciones de seguridad; segmenta la red y limita los accesos con privilegios mínimos.
- Monitorización continua: Implanta herramientas de detección de intrusiones y supervisa registros en busca de actividad anómala, siguiendo la estrategia de contención de F5.
- Gestión de proveedores: Revisa los procesos de desarrollo seguro de tus proveedores y establece cláusulas de seguridad para proteger la cadena de suministro de software.
