Qué estamos aprendiendo de nuestro incidente de seguridad
La semana pasada, anunciamos un importante incidente de seguridad causado por un actor de amenazas estatal con un nivel de sofisticación muy alto. Como CISO, sé lo que supone recibir este tipo de noticias de un colaborador. Entiendo lo complicado y disruptivo que resulta para ti como cliente, y te pedimos disculpas sinceras. Asumimos por completo la responsabilidad del incidente.
Durante la semana pasada, hemos conversado con cientos de clientes y con grupos de CISOs como tú. Te agradezco, tanto a ti como a la comunidad de seguridad en general, la colaboración y confianza que has mostrado en un momento tan complicado.
Queremos aprender de este incidente y sabemos que puedes mejorar algunos aspectos. La lección principal hasta ahora: Los controles funcionaban de manera desigual: eran sólidos en ciertas áreas pero no en otras. Vamos a superarnos.
Los equipos de toda la compañía actúan juntos de forma rápida y coordinada para que vuelvas a confiar en nosotros y alcancemos un estándar de seguridad aún más alto. Hemos optimizado la automatización en la gestión de inventario y parches, y reforzado la supervisión para detectar y responder antes a incidentes. Mejoramos tus capacidades de zero trust en nuestra infraestructura y operaciones, y colaboramos con CrowdStrike para ofrecer a F5 BIG-IP una visibilidad avanzada en endpoints. Además, ejecutamos CrowdStrike EDR en nuestros dispositivos BIG-IP de perímetro corporativo. Tú también puedes contar con esa misma protección para tus flotas de BIG-IP.
Seguimos trabajando sin descanso para solucionarlo, contigo en cada paso. Mientras investigamos y recopilamos aprendizajes de lo ocurrido, compartiremos nuestras conclusiones para que puedas reforzar la seguridad en toda la comunidad.
Para ayudarte, he recopilado aquí las preguntas que más plantean los clientes ahora mismo, junto con respuestas y recomendaciones:
¿Qué tipo de datos de clientes pudo acceder el atacante?
Parte de los archivos exfiltrados de nuestra plataforma de gestión de conocimientos incluía información relacionada con un pequeño porcentaje de clientes. Queremos recalcar que no hemos encontrado ninguna evidencia de acceso ni exfiltración de datos de tus sistemas CRM, financieros, de gestión de casos de soporte ni de F5 iHealth. La información de clientes afectada que hemos identificado consiste sobre todo en notas internas acerca de interacciones contigo, como datos utilizados para resolver incidencias, desarrollar funcionalidades o atender solicitudes de corrección de errores.
Seguimos revisando a fondo estos archivos. Estamos actuando con rapidez, pero te ofrecemos información precisa dedicando el tiempo necesario. Ya te hemos comunicado si hemos encontrado tus datos y seguiremos contactándote directamente a medida que dispongamos de más información.
¿Sabes si la información exfiltrada ha salido publicada o circula por la Dark Web?
No has visto que la información exfiltrada en el incidente se comparta públicamente ni en la Dark Web, y tampoco hemos detectado indicios de que se estén explotando activamente las vulnerabilidades que se expusieron.
CISA ha emitido una Directiva de Emergencia sobre el incidente. ¿Debes preocuparte como cliente?
No tenemos constancia de vulnerabilidades críticas o de ejecución remota de código no reveladas, ni de que alguien haya explotado las vulnerabilidades que comunicamos la semana pasada. Sin embargo, la directiva de CISA refuerza dos puntos clave: primero, te recomendamos firmemente que actualices tu software BIG-IP cuanto antes; y segundo, debes asegurarte de que las interfaces de gestión nunca estén accesibles desde Internet y siempre queden protegidas mediante una segmentación efectiva, aislamiento de red y una adecuada lista de control de acceso.
Las actualizaciones que anunciamos en nuestra Notificación de seguridad trimestral resuelven vulnerabilidades de alta gravedad presentes en la información a la que accedió el actor de amenazas. También ponemos a tu disposición recursos adicionales para que refuerces y supervises tus entornos F5 aquí. Seguiremos colaborando de cerca contigo y con CISA para ofrecerte claridad, transparencia y confianza en nuestros productos.
¿Por qué no informaste antes sobre el incidente?
Sabemos lo importante que es la rapidez al comunicarte sobre incidentes de seguridad, así que te informamos del incidente de forma ágil, responsable, precisa y útil para ti. Además, colaboramos estrechamente con las fuerzas de seguridad y con nuestros socios gubernamentales.
¿Qué consecuencias tiene que un actor de amenazas acceda al código fuente de BIG-IP?
En primer lugar, no hemos detectado modificaciones en nuestra cadena de suministro de software, incluyendo el código fuente, ni en los procesos de compilación y distribución. NCC Group e IOActive, líderes en investigación de ciberseguridad, han validado esta evaluación en revisiones independientes. Para asegurar un control exhaustivo, seguimos colaborando con ellos en análisis continuos.
En segundo lugar, te animamos a actualizar el software BIG-IP cuanto antes. Ya se han descargado 24.000 veces las nuevas versiones, así que muchos de vosotros estáis adoptando el software actualizado. Además, hemos entregado más de 200 versiones personalizadas a clientes.
En las próximas semanas, lanzaremos un programa de recompensas por fallos para que puedas contar con una seguridad de producto aún más robusta.
¿Quieres empezar a trabajar con CrowdStrike Falcon en BIG-IP? Te mostramos cómo hacerlo.
CrowdStrike Falcon Sensor y Overwatch Threat Hunting ya están disponibles para acceso anticipado en BIG-IP Virtual Edition (VE), y pronto podrás usarlos en los sistemas de hardware BIG-IP. Cuando integras Falcon Sensor de CrowdStrike directamente en la plataforma F5 BIG-IP y utilizas el servicio gestionado de búsqueda de amenazas CrowdStrike Falcon Adversary OverWatch, llevamos la seguridad adaptativa basada en IA hasta el perímetro de red donde proteges el tráfico más crítico de tus aplicaciones y APIs.
En F5 te ofrecemos acceso gratuito hasta el 14 de octubre de 2026 si eres cliente elegible de BIG-IP, para que puedas adoptar de inmediato seguridad nativa de IA y herramientas de búsqueda de amenazas en la red sin desembolsos iniciales. Si te interesa y eres cliente de F5 BIG-IP, puedes consultar más detalles y empezar aquí.
¿Vas a publicar más parches? ¿Puedes esperar nuevas versiones en breve?
Seguiremos ofreciendo actualizaciones y correcciones continuas para BIG-IP. Te informaremos y resolveremos cualquier vulnerabilidad según nuestra política de respuesta a vulnerabilidades. Por el momento, tras analizar los registros disponibles, no tenemos constancia de vulnerabilidades críticas o remotas no divulgadas, ni sabemos de ningún informe sobre explotación activa de vulnerabilidades desconocidas en productos F5.
¿Puedes facilitarnos IOCs?
Si lo solicitas, puedes acceder a los IOC como cliente de F5. Puedes abrir un caso de soporte en MyF5, o contactar directamente con el soporte de F5 o con tu equipo de cuenta para recibir los IOC y una guía para la búsqueda de amenazas.
CrowdStrike elaboró la guía de búsqueda de amenazas, y no se centra en F5. Queremos ayudarte a investigar al actor de amenazas en tu propio entorno.
¿Qué versiones de BIG-IP ya incluyen la corrección?
Te recomendamos instalar las versiones actualizadas de BIG-IP:
- BIG-IP 17.5.1.3
- BIG-IP 17.1.3
- BIG-IP 16.1.6.1
- BIG-IP 15.1.10.8
Puedes consultar más detalles sobre los lanzamientos y las vulnerabilidades que solucionamos en la Notificación de seguridad trimestral de octubre.
¿Qué puedes hacer si usas una versión sin soporte de F5 que ya está descatalogada (EOL)?
Te recomendamos que actualices las versiones EOL de software a las que F5 respalda actualmente, así contarás siempre con las últimas mejoras y actualizaciones de seguridad.
Puedes ponerte en contacto directamente con el soporte de F5 para que te ayudemos a actualizar tus sistemas BIG-IP.