Los ciberdelincuentes han encontrado un nuevo mecanismo para entrar en el corazón de muchas redes empresariales. Un informe de Trend Micro revela que atacantes han estado explotando una vulnerabilidad crítica recientemente parcheada en dispositivos de red Cisco para desplegar un rootkit sofisticado en switches. La campaña, denominada Operation Zero Disco, se sirve de un fallo en el protocolo SNMP (Simple Network Management Protocol) de Cisco IOS e IOS XE, registrada como CVE-2025-20352, y que permite la ejecución remota de código (RCE) si se consigue acceso con privilegios de root.

La vulnerabilidad afecta a modelos ampliamente desplegados, incluidos los Cisco 9400, 9300 y los antiguos 3750G, equipos presentes en numerosas infraestructuras corporativas y administrativas. Cisco publicó un parche a principios de octubre y, en su boletín actualizado el 6 de octubre, confirmó que el fallo había sido explotado como un zero-day —es decir, antes de disponer de una corrección generalizada— y que su Product Security Incident Response Team (PSIRT) estaba al tanto de explotaciones exitosas en entornos reales.

Trend Micro advierte además que los ciberdelincuentes utilizan la vulnerabilidad para no limitarse a los propios switches: también intentan alcanzar sistemas Linux sin protección, especialmente aquellos que carecen de soluciones de detección y respuesta en endpoints (EDR), donde la cadena de ataque puede ampliarse con facilidad.

Ad

“Operation Zero Disco”: persistencia y control universal

El nombre de la campaña proviene de una curiosa señal del malware: establece una contraseña universal que incluye la palabra “disco”, lo que permite a los atacantes recuperar acceso con facilidad. El rootkit desplegado demuestra capacidades avanzadas y preocupantes:

  • Un controlador UDP capaz de escuchar en cualquier puerto.

  • Manipulación y eliminación de logs, para borrar o alterar trazas de la intrusión.

  • Evasión de mecanismos AAA y de ACLs VTY (control de acceso a líneas remotas).

  • Ocultamiento de elementos de configuración activos y modificación de sus marcas de tiempo.

  • Activación/desactivación remota de la contraseña universal.

En simulaciones de ataque, los investigadores pudieron desactivar el registro de eventos, suplantar IPs mediante ARP spoofing, evadir reglas internas de firewall y moverse lateralmente entre VLANs. Ese tipo de movimientos laterales transforma un acceso inicial a un switch en una vía para comprometer segmentos enteros de la red.

Viejos fallos, nuevas combinaciones

Los responsables del informe también documentan intentos de explotar CVE-2017-3881, una vulnerabilidad de siete años en el Cluster Management Protocol de IOS, lo que indica que los atacantes combinan fallos antiguos y recientes para maximizar sus probabilidades de éxito. Trend Micro recuperó variantes de 32 y 64 bits del exploit SNMP, lo que sugiere un trabajo técnico minucioso detrás de la campaña.

Esto pone de manifiesto un problema estructural: muchos entornos siguen operando con equipos que llevan años sin parchear o que ya están fuera de soporte. Un switch antiguo, aunque aparentemente estable, puede convertirse en la puerta trasera hacia datos sensibles y control de la infraestructura.

Protección añadida no igual a inmunidad

Los switches más modernos cuentan con medidas de mitigación como ASLR (Address Space Layout Randomization) que dificultan la explotación directa. No obstante, los investigadores subrayan que esas protecciones elevan la barrera pero no la eliminan: la persistencia y la sofisticación de los ciberdelincuentes pueden permitirles encontrar vectores alternativos incluso en modelos recientes.

Otro problema relevante es la naturaleza fileless de buena parte del conjunto malicioso: el rootkit instala «hooks» en procesos clave —como el IOSd—, de modo que componentes en memoria desaparecen tras un reinicio y se reactivan mediante mecanismos ocultos. Esa técnica complica enormemente el análisis forense tradicional y la detección mediante antivirus convencionales.

Según Trend Micro, actualmente no existe una herramienta fiable que garantice detectar con seguridad si un switch ha sido afectado por Operation Zero Disco. La recomendación ante sospechas es realizar investigaciones de bajo nivel sobre firmware y regiones ROM del dispositivo, labores que normalmente requieren asistencia del fabricante o de equipos forenses especializados.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre