Filtración masiva en F5: actores estatales acceden al código fuente de BIG-IP y vulnerabilidades no reveladas

el

La empresa estadounidense de ciberseguridad F5 ha confirmado una grave intrusión en sus sistemas, en la que atacantes con capacidades de nivel estatal accedieron al código fuente de BIG-IP y a información sensible sobre vulnerabilidades aún no divulgadas. Esta brecha representa una amenaza crítica, especialmente para infraestructuras gubernamentales y empresariales que dependen de estos productos para proteger sus redes.

Intrusión silenciosa y de largo plazo

Según una notificación oficial presentada a la SEC (Securities and Exchange Commission), F5 descubrió el incidente el pasado 9 de agosto de 2025, pero retrasó su divulgación pública por petición del Departamento de Justicia de EE. UU. (DoJ).

Los atacantes, descritos como un grupo altamente sofisticado vinculado a un estado-nación, mantuvieron acceso persistente y silencioso durante al menos 12 meses, lo que sugiere una operación de ciberespionaje bien financiada y ejecutada con precisión quirúrgica.

¿Qué fue robado?

  • Archivos con porciones del código fuente de BIG-IP

  • Información sobre vulnerabilidades no divulgadas

  • Configuraciones o implementaciones específicas de clientes (en un pequeño porcentaje de casos)

F5 asegura que no hay evidencia de que estas vulnerabilidades hayan sido explotadas activamente hasta ahora, y que no se accedió a sistemas internos como el CRM, información financiera o herramientas de soporte al cliente.

BRICKSTORM: el backdoor utilizado

Según una investigación publicada por Bloomberg, la operación utilizó un malware avanzado denominado BRICKSTORM, atribuido a UNC5221, un grupo de ciberespionaje con vínculos a China. Esta familia de malware también ha sido usada en campañas recientes contra sectores legales, tecnológicos y proveedores de SaaS en EE. UU.

Medidas de contención

F5, junto con Google Mandiant y CrowdStrike, ha tomado múltiples medidas para contener el ataque y proteger sus entornos:

  • Rotación de credenciales y certificados digitales

  • Refuerzo de controles de acceso

  • Implementación de nuevas herramientas de monitoreo de amenazas

  • Aislamiento y endurecimiento de entornos de desarrollo

  • Mejoras en la arquitectura de seguridad de red

Además, F5 ha comenzado a notificar directamente a los clientes potencialmente afectados según la revisión de los archivos exfiltrados.

Alerta nacional: directiva de emergencia de CISA

Como respuesta inmediata, la CISA (Cybersecurity and Infrastructure Security Agency) emitió la Directiva de Emergencia ED 26-01, que obliga a todas las agencias federales del gobierno de EE. UU. a:

  1. Inventariar todos los dispositivos F5 BIG-IP

  2. Verificar si las interfaces de administración están expuestas a Internet

  3. Aplicar los parches recién publicados por F5 antes del 22 de octubre de 2025

  4. Desconectar los dispositivos fuera de soporte

  5. Reportar todas las acciones a CISA antes del 29 de octubre a las 23:59 EDT

La agencia advierte que el acceso obtenido por los atacantes les permite realizar análisis estático y dinámico del código fuente, identificar fallos lógicos y desarrollar exploits altamente dirigidos, incluyendo posibles zero-days.

¿Por qué esto es importante?

  • F5 es un actor clave en la infraestructura de red a nivel global. Sus dispositivos BIG-IP están presentes en entornos críticos como gobiernos, banca, servicios de salud, cloud providers y grandes empresas.

  • El robo del código fuente y de vulnerabilidades no corregidas acelera enormemente el tiempo de desarrollo de exploits, dándole a los atacantes una ventaja técnica significativa.

  • En el último trimestre, F5 ha revelado 45 vulnerabilidades, frente a solo 6 del trimestre anterior, como parte de un esfuerzo por parchar proactivamente antes de que los atacantes las aprovechen.

¿Qué deben hacer las organizaciones?

  • Aplicar de inmediato las últimas actualizaciones disponibles para:

    • BIG-IP

    • F5OS

    • BIG-IP Next para Kubernetes

    • BIG-IQ

    • Clientes APM

  • Asegurar que las interfaces de administración no sean accesibles desde Internet

  • Revisar y rotar credenciales asociadas a dispositivos F5

  • Desconectar equipos sin soporte oficial

  • Monitorear indicadores de compromiso (IoCs) compartidos por F5 y firmas de ciberseguridad

Conclusión

Este incidente marca uno de los mayores compromisos de seguridad en la historia reciente de la industria del networking. Que una compañía como F5, clave en la protección de infraestructuras globales, haya sido vulnerada por un actor estatal, y por tanto tiempo, deja al descubierto la fragilidad de nuestros entornos más críticos.

La combinación de acceso prolongado, robo de código fuente y vulnerabilidades no divulgadas plantea un escenario de alto riesgo, donde las organizaciones deben actuar con rapidez para protegerse de posibles ataques derivados.