Cisco FMC Zero-Day: El ransomware Interlock explota una vulnerabilidad CVSS 10.0 desde enero
8 minutos de lectura
Durante 36 días, los atacantes pudieron obtener acceso remoto no autenticado con privilegios de root al Cisco Secure Firewall Management Center (FMC) antes de que Cisco publicara un parche. El grupo de ransomware Interlock ha estado explotando activamente la vulnerabilidad CVE-2026-20131 (CVSS 10.0) desde el 26 de enero de 2026. Amazon Threat Intelligence detectó la campaña mediante su red de honeypots MadPot. No existe ninguna solución alternativa. Quien no haya aplicado el parche sigue siendo vulnerable.
Lo más importante en resumen
- CVSS 10.0 – Máximo: CVE-2026-20131 permite ejecución remota de código no autenticado con privilegios de root en Cisco FMC (NVD, marzo de 2026).
- 36 días de zero-day: Primera explotación el 26 de enero de 2026 – parche de Cisco publicado el 4 de marzo de 2026 (Amazon Threat Intelligence).
- Sin soluciones alternativas: Cisco confirma que no existen contramedidas temporales. La única solución es actualizar a la versión 7.4.2.1 o superior.
- Entrada en el catálogo KEV de CISA: La agencia estadounidense de ciberseguridad incluyó esta vulnerabilidad en su catálogo Known Exploited Vulnerabilities el 19 de marzo de 2026.
- Interlock bajo foco: El grupo de ransomware está activo desde septiembre de 2024 y aplica extorsión doble (Double Extortion) con enfoque en el Reglamento General de Protección de Datos (RGPD) en sus demandas de rescate.
Qué ocurrió: 36 días de zero-day
El 26 de enero de 2026, la red de honeypots MadPot de Amazon registró los primeros intentos de ataque contra el Cisco Secure Firewall Management Center (FMC). Los atacantes explotaban una vulnerabilidad hasta entonces desconocida en la interfaz web de gestión: CVE-2026-20131, clasificada con la puntuación CVSS máxima de 10.0. Este ataque no requiere autenticación, ni interacción del usuario y otorga al atacante acceso con privilegios de root al sistema afectado.
Cisco publicó el parche recién el 4 de marzo de 2026 – 36 días después del inicio de la explotación activa. El 18 de marzo, Cisco actualizó su aviso y confirmó oficialmente la explotación en entornos reales (in the wild). El 19 de marzo, CISA incluyó la vulnerabilidad en su catálogo Known Exploited Vulnerabilities (KEV) y fijó a las agencias federales estadounidenses una fecha límite para aplicar el parche: el 22 de marzo. No existe ninguna solución alternativa: quien esté afectado debe aplicar el parche.
Están afectadas las versiones de FMC 7.0.5 a 7.4.1.1, así como versiones de las líneas 7.6.x, 7.7.x y 10.0.0. La versión corregida para la rama 7.4.x es la 7.4.2.1. Cisco publicó parches para todas las ramas afectadas en su correspondiente aviso de seguridad. La siguiente cronología ilustra la gravedad de la situación:
| Fecha | Evento |
|---|---|
| 26.01.2026 | Primera explotación por Interlock (Amazon MadPot) |
| 04.03.2026 | Cisco publica el aviso de seguridad y los parches |
| 18.03.2026 | Cisco confirma oficialmente la explotación activa in the wild |
| 19.03.2026 | CISA incluye la CVE en el catálogo KEV |
| 20.03.2026 | Amazon publica indicadores de compromiso (IoCs) y análisis |
| 25.03.2026 | Versión final v1.2 del aviso de seguridad de Cisco |
La vulnerabilidad: Deserialización insegura de Java
CVE-2026-20131 se basa en la deserialización insegura de datos no fiables (CWE-502). El vector de ataque es la interfaz web de gestión del FMC. El proceso detallado es el siguiente:
El atacante envía una solicitud HTTP especialmente preparada a la interfaz web del FMC. El cuerpo de la solicitud contiene un objeto Java serializado con un flujo de bytes malicioso. El FMC deserializa dicho objeto sin una validación suficiente y ejecuta el código contenido con privilegios de root. Para verificar el éxito del ataque, el sistema comprometido envía posteriormente una solicitud HTTP PUT a un servidor controlado por el atacante. A continuación, descarga y ejecuta un binario ELF que carga herramientas adicionales de Interlock.
Esto significa que basta una única solicitud HTTP para obtener el control total sobre el sistema de gestión de firewalls. Desde allí, el atacante obtiene acceso a la configuración de todos los firewalls gestionados, a la topología de la red y potencialmente a toda la red corporativa. La vulnerabilidad no requiere ningún conocimiento previo del sistema objetivo: ni credenciales, ni tokens de sesión, ni interacción previa.
Particularmente crítica es la función del FMC dentro de la arquitectura de red. El centro de gestión constituye la instancia central de configuración para todos los firewalls Cisco conectados. Quien controle el FMC, controlará toda la seguridad perimetral de la empresa. Los cambios de política, ajustes de reglas y listas de control de acceso pueden distribuirse desde allí a todos los dispositivos gestionados. Un FMC comprometido no es un problema aislado: es un incidente que afecta a toda la red.
Además de CVE-2026-20131, Cisco abordó en el mismo aviso también CVE-2026-20079, calificada asimismo con CVSS 10.0. Ambas vulnerabilidades fueron corregidas con los mismos parches. Quien considere cualquiera de estas dos CVE relevantes en su entorno debe tratar ambas como críticas.
Quién está detrás: Perfil del grupo Interlock
El grupo de ransomware Interlock lleva activo desde septiembre de 2024 y aplica un enfoque de extorsión doble (Double Extortion): los datos son exfiltrados y cifrados. Las víctimas reciben demandas de rescate que hacen referencia explícita a normativas de protección de datos – un enfoque basado en el RGPD diseñado para incrementar intencionadamente la presión sobre víctimas europeas. Las negociaciones se llevan a cabo a través de un portal basado en TOR que proporciona credenciales de acceso individuales para cada víctima.
Los ataques anteriores confirmados de Interlock incluyen al proveedor estadounidense de servicios de diálisis DaVita, la red hospitalaria Kettering Health, la Universidad Texas Tech y la ciudad de Saint Paul, en Minnesota. En el Reino Unido, el grupo utilizó el RAT NodeSnake contra varias universidades. El análisis de zonas horarias de las actividades de los operadores sugiere un origen en la zona UTC+3 – Europa Oriental o Rusia. Su perfil revela un grupo profesionalmente organizado, con infraestructura dedicada, equipo propio de desarrollo y un claro enfoque en sectores críticos de países industrializados. La combinación de extorsión doble y enfoque en el RGPD convierte a Interlock en una amenaza particularmente relevante para empresas europeas.
Interlock emplea un amplio arsenal: scripts de PowerShell para cartografía de redes y reconocimiento (reconnaissance), RATs personalizados basados en JavaScript y Java, instancias de ConnectWise ScreenConnect comprometidas para mantener la persistencia, webshells sin archivos (fileless) para evadir análisis forenses y eliminación sistemática de registros tras una compromisión exitosa. Además, utiliza una infraestructura de proxy relay para ocultar el origen del ataque y emplea las herramientas Volatility y Certify para análisis de memoria y enumeración de Active Directory.
Varios analistas informan que parte del malware de Interlock fue desarrollado utilizando herramientas de inteligencia artificial generativa – una tendencia que reduce aún más el esfuerzo necesario para crear herramientas de ataque personalizadas. El grupo se dirige principalmente a sectores con alta presión financiera: sanidad, educación, sector público e industria manufacturera. Todos estos sectores están fuertemente representados en la región DACH.
Qué descubrió Amazon
Amazon Threat Intelligence detectó la campaña mediante su sistema MadPot – una red global de honeypots que observa la infraestructura de los atacantes y sus comunicaciones con servidores de comando y control (C2). Un error de OPSEC cometido por los operadores de Interlock expuso el conjunto completo de herramientas del grupo: scripts de reconocimiento, RATs personalizados, mecanismos de evasión y la infraestructura de proxy relay utilizada para disfrazar el origen de los ataques.
Amazon coordinó la divulgación con Cisco y publicó el 20 de marzo de 2026 una [entrada detallada en su blog](https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/) con indicadores de compromiso (IoCs) y recomendaciones defensivas. Esta entrada en el blog constituye actualmente la mejor fuente pública disponible de IoCs concretos – hashes, direcciones IP y nombres de dominio de la infraestructura de los atacantes. Los equipos de seguridad deben incorporar inmediatamente estos IoCs a sus sistemas de detección y compararlos retroactivamente con sus datos de registro desde finales de enero. La ausencia de coincidencias no supone una garantía de seguridad, ya que Interlock elimina activamente los registros y emplea técnicas fileless que evitan la detección basada en firmas tradicionales.
Para las empresas de la región DACH es relevante: muestras de malware de Interlock han sido enviadas, entre otros, desde Alemania. No se puede determinar, a partir de fuentes públicas, si esto ocurrió en el contexto de la explotación del FMC o en actividades anteriores de Interlock. Hasta la fecha de cierre de esta edición, el BSI no ha publicado ningún aviso propio sobre CVE-2026-20131 – una laguna llamativa dada la difusión del Cisco FMC en las redes empresariales alemanas.
La ausencia de una advertencia del BSI no debe interpretarse como una señal tranquilizadora. CISA ya ha incluido la vulnerabilidad en su catálogo KEV y ha impuesto a las agencias federales estadounidenses un plazo para aplicar el parche. Quien esté sujeto a la Directiva NIS2 y detecte una compromisión del FMC deberá notificarla al BSI en un plazo de 24 horas. Una notificación detallada deberá seguir dentro de las siguientes 72 horas. Dado el período de 36 días transcurrido desde la primera explotación, se recomienda revisar los registros retroactivamente hasta el 26 de enero de 2026.
Qué hacer ahora
Los siguientes ocho pasos deben ejecutarse en este orden. Priorización: primero el parche, la investigación forense en paralelo.
1. Verificar la exposición. ¿Qué versiones de FMC están en uso? Están afectadas las versiones 7.0.5 a 7.4.1.1, así como las versiones de las ramas 7.6.x, 7.7.x y 10.0.0. La tabla completa de versiones figura en el [aviso de seguridad de Cisco](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh). La versión puede consultarse en la interfaz web del FMC, en la sección Help > About.
2. Aplicar el parche. Actualizar a la versión 7.4.2.1 o superior. Al no existir ninguna solución alternativa, esta es la única medida eficaz. Cisco ha publicado parches para todas las ramas afectadas.
3. Aislar la interfaz del FMC. Hasta la aplicación del parche: limitar la interfaz web de gestión del FMC a una red de gestión out-of-band dedicada. Sin exposición a Internet. Acceso únicamente desde estaciones de trabajo administrativas autorizadas.
4. Revisar los registros. Buscar solicitudes HTTP inusuales dirigidas a la interfaz web del FMC, especialmente errores de deserialización de Java en los registros de aplicaciones y tráfico no autenticado en los puertos de gestión. Las solicitudes HTTP PUT hacia servidores externos constituyen un indicador sólido de una compromisión exitosa.
5. Incorporar los IoCs. Cargar la lista completa de indicadores de compromiso del [blog de seguridad de AWS](https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/) en los sistemas SIEM y EDR. Realizar búsquedas retroactivas desde el 26 de enero de 2026. Prestar especial atención a las solicitudes HTTP PUT hacia servidores externos desconocidos – este es el mecanismo de exfiltración confirmado.
6. Revisar el [acceso privilegiado](https://www.securitytoday.de/es/2026/03/29/privileged-access-management-admin-konten-pam-2026/). Si un FMC ha sido comprometido, el atacante tuvo acceso con privilegios de root al sistema de gestión de firewalls. Toda la configuración de firewalls, credenciales y certificados gestionados a través del FMC afectado deben considerarse potencialmente comprometidos. Es obligatorio rotar todas las contraseñas y renovar completamente los certificados.
7. Activar el plan de respuesta ante incidentes. Toda compromisión confirmada o sospechosa de un FMC constituye un incidente de nivel de gravedad 1 (Severity-1). El atacante pudo haber tenido acceso a toda la infraestructura de firewalls. Esto implica: verificar todas las reglas de firewall gestionadas en busca de modificaciones no autorizadas, validar la integridad de las copias de seguridad de configuración y comprobar la segmentación de la red. Quien no disponga de un plan de respuesta ante incidentes debe cerrar esta brecha de forma paralela.
8. Revisar Cisco Security Cloud Control. Informes preliminares sugieren que también podría verse afectada la solución basada en la nube Cisco Security Cloud Control (SCC). Quien utilice SCC debe contactar directamente con el soporte técnico de Cisco y confirmar el estado del parche.
Conclusión
CVE-2026-20131 es el exploit de Cisco más grave de los últimos meses. Puntuación CVSS máxima, acceso remoto no autenticado con privilegios de root, 36 días de explotación activa antes del parche y ausencia de soluciones alternativas: esta es la peor combinación que puede ofrecer un aviso de seguridad.
Quien gestione Cisco FMC y aún no haya aplicado el parche está aceptando un riesgo injustificable – ni técnica ni gerencialmente, dado que los responsables empresariales pueden ser personalmente responsables bajo la Directiva NIS2. El grupo Interlock ha demostrado que explota esta vulnerabilidad de forma profesional y a gran escala. La combinación de deserialización de Java, acceso con privilegios de root y el papel central del FMC en la arquitectura de red convierte a cada FMC sin parchear en un riesgo de seguridad que afecta a toda la red. Aplicar el parche no es una recomendación: es una obligación. Hoy mismo.
Preguntas frecuentes
¿Está mi empresa afectada?
Si usted utiliza Cisco Secure Firewall Management Center en las versiones 7.0.5 a 7.4.1.1, 7.6.x, 7.7.x o 10.0.0: sí. La tabla completa de versiones figura en el aviso de seguridad de Cisco cisco-sa-fmc-rce-NKhnULJh. Puede verificar la versión de su FMC desde la interfaz web, en Help > About.
¿Existe alguna solución alternativa hasta la aplicación del parche?
No. Cisco confirma expresamente que no existen soluciones alternativas. La única medida efectiva es actualizar a la versión parcheada. Como medida provisional, debe limitar la interfaz de gestión del FMC a una red aislada y restringir el acceso únicamente a estaciones de trabajo administrativas autorizadas.
¿Qué es Interlock?
Interlock es un grupo de ransomware activo desde septiembre de 2024 que practica la extorsión doble: exfiltra y cifra los datos. El grupo hace referencia al RGPD en sus demandas de rescate para incrementar la presión sobre víctimas europeas. Entre sus objetivos confirmados figuran prestadores de servicios sanitarios, universidades e instituciones públicas.
¿De dónde proceden los IoCs?
La lista de IoCs más completa disponible públicamente fue publicada por Amazon Threat Intelligence en el blog de seguridad de AWS. Amazon descubrió la campaña mediante su red de honeypots MadPot y coordinó su divulgación con Cisco. Los IoCs incluyen hashes de archivos, direcciones IP y nombres de dominio de la infraestructura de los atacantes.
¿Debo cumplir con las obligaciones de notificación de NIS2?
Si su empresa está sujeta a la Directiva NIS2 y detecta indicios de una compromisión: sí. La notificación inicial al BSI debe realizarse dentro de las 24 horas; una notificación detallada debe seguir dentro de las 72 horas. Revise sus registros retroactivamente desde el 26 de enero de 2026 – un FMC comprometido puede permanecer sin detectar durante semanas o incluso meses.
Lecturas recomendadas por la redacción
Más contenidos de la red MBF Media
- → NIS2 y SaaS: la brecha de cumplimiento (cloudmagazin)
- → Ciberseguro para pymes: qué cobertura real ofrece (MyBusinessFuture)
- → Gobernanza de la IA: qué debe saber ahora el Consejo de Administración (Digital Chiefs)
Fuente de la imagen principal: Pexels / Markus Winkler (px:30965500)
