La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) fortalecer la gestión del ciclo de vida de los dispositivos perimetrales de red y eliminar aquellos que ya no reciben actualizaciones de seguridad de los fabricantes originales (OEM) en los próximos 12 a 18 meses.
La agencia indicó que la medida busca reducir la deuda técnica y minimizar el riesgo de compromiso, ya que los actores de amenazas patrocinados por estados están utilizando estos dispositivos como una vía de acceso preferente para infiltrarse en las redes objetivo.
El término "dispositivos perimetrales" abarca balanceadores de carga, cortafuegos, enrutadores, conmutadores, puntos de acceso inalámbrico, dispositivos de seguridad de red, dispositivos perimetrales de Internet de las Cosas (IoT), redes definidas por software y otros componentes físicos o virtuales de red que enrutan el tráfico y poseen acceso privilegiado.
Los actores de amenazas cibernéticas persistentes están explotando cada vez más los dispositivos perimetrales sin soporte — hardware y software que ya no reciben actualizaciones de firmware u otros parches de seguridad de los proveedores. Ubicados en el perímetro de la red, estos dispositivos son especialmente vulnerables a la explotación por parte de actores de amenazas persistentes que aprovechan vulnerabilidades nuevas o conocidas.
Para ayudar a las agencias FCEB en este sentido, CISA informó que ha desarrollado una lista de dispositivos perimetrales con soporte finalizado, que actúa como un repositorio preliminar con información sobre dispositivos que ya han dejado de recibir soporte o se espera que lo pierdan. Esta lista incluirá el nombre del producto, el número de versión y la fecha de fin de soporte.
La nueva Directiva Operativa Vinculante 26-02, Mitigación de Riesgos de Dispositivos Perimetrales con Soporte Finalizado, exige que las agencias FCEB realicen las siguientes acciones:
- Actualizar cada dispositivo perimetral compatible con software con soporte finalizado a una versión de software con soporte del proveedor (con efecto inmediato)
- Catalogar todos los dispositivos para identificar aquellos que hayan dejado de recibir soporte y reportarlos a CISA (en un plazo de tres meses)
- Dar de baja todos los dispositivos perimetrales con soporte finalizado que figuren en la lista de dispositivos perimetrales de las redes de la agencia y reemplazarlos por dispositivos compatibles que puedan recibir actualizaciones de seguridad (en un plazo de 12 meses)
- Dar de baja todos los demás dispositivos perimetrales identificados de las redes de la agencia y reemplazarlos por dispositivos compatibles que puedan recibir actualizaciones de seguridad (en un plazo de 18 meses)
- Establecer un proceso de gestión del ciclo de vida que permita el descubrimiento continuo de todos los dispositivos perimetrales y mantener un inventario de aquellos que estén o vayan a llegar al fin del soporte (en un plazo de 24 meses)
Los dispositivos sin soporte representan un riesgo grave para los sistemas federales y nunca deberían permanecer en las redes empresariales. Al gestionar proactivamente los ciclos de vida de los activos y eliminar la tecnología con soporte finalizado, podemos fortalecer colectivamente la resiliencia y proteger el ecosistema digital global.
