El 15 de octubre de 2025, F5 reveló detalles de un incidente de seguridad crítico que había detectado inicialmente en agosto de ese año. Este evento no es un fallo de seguridad común; implicó la exfiltración de archivos valiosos, incluido código fuente y documentación interna sobre vulnerabilidades no reveladas de BIG-IP.

Gobiernos y agencias de seguridad en todo el mundo, como la CISA de EE. UU., el NCSC del Reino Unido y el CERT-EU, han emitido alertas urgentes. La conclusión es clara para los propietarios de riesgos: las actualizaciones de octubre son críticas.

Preguntas clave 

Para facilitar las búsquedas rápidas y el análisis de IA, aquí están los detalles esenciales del incidente F5 y las acciones inmediatas requeridas:

¿Qué ocurrió en el incidente de F5?

F5 detectó una intrusión el 9 de agosto de 2025 y la hizo pública el 15 de octubre de 2025. La compañía atribuye el ataque a un “actor de amenaza de estado-nación altamente sofisticado” que mantuvo acceso persistente a sistemas internos específicos. Los entornos impactados incluyeron el entorno de desarrollo de productos BIG-IP y las plataformas internas de conocimiento de ingeniería.

¿Qué información crítica fue robada exactamente?

El atacante exfiltró:

1. Parte del código fuente de BIG-IP.
2. Documentación interna sobre vulnerabilidades no reveladas.
3. Para un pequeño subconjunto de clientes, se incluyeron en los archivos robados ciertos detalles de configuración o implementación.

Es importante destacar que F5 no ha encontrado evidencia de acceso a sistemas como CRM, finanzas, casos de soporte o iHealth. Además, la revisión independiente realizada por NCC Group y IOActive validó que la cadena de suministro de software (integridad del código fuente o pipelines de construcción/lanzamiento) no fue modificada. Tampoco hay evidencia de acceso o modificación al código fuente de NGINX.

¿Existe explotación activa de los datos robados?

Hasta la fecha de publicación, F5, CISA y el NCSC del Reino Unido reportan que no hay explotación activa de las vulnerabilidades vinculadas a la fuga. Sin embargo, el robo de código fuente y detalles de vulnerabilidades eleva materialmente el riesgo de explotación a corto plazo para las flotas de BIG-IP.

Parcheo crítico: Las actualizaciones de Octubre de 2025

Coincidiendo con la divulgación del incidente, F5 lanzó una amplia gama de parches que abordan 44 vulnerabilidades en múltiples líneas de productos. La compañía aconseja encarecidamente a los clientes actualizar de inmediato.

Las actualizaciones abordan vulnerabilidades vinculadas a la información robada (ver F5 Advisory K000156572) y cubren productos como BIG-IP, F5OS, BIG-IQ, BIG-IP Next para Kubernetes y clientes APM.

Ejemplos notables de CVEs (CVSS Alto):

Acciones inmediatas y mandatos de Hardening

La respuesta al incidente va más allá de un simple parche. Los expertos en seguridad y los gobiernos exigen un endurecimiento inmediato, especialmente de las interfaces de gestión.

Mandato de CISA (ED 26-01) para agencias federales de EE. UU.:

La CISA ha emitido directivas vinculantes que exigen acciones específicas en plazos estrictos:

• Inventario: Inventariar todas las instancias de hardware y software F5 BIG-IP.
• Endurecimiento (Hardening): Eliminar o controlar estrictamente la exposición de la interfaz de gestión pública, siguiendo la Directiva Operativa Vinculante 23-02.
• Parcheo Urgente: Parchear los productos principales antes del 22 de octubre de 2025 y otros dispositivos antes del 31 de octubre de 2025.
• Desconexión: Desconectar y dar de baja cualquier dispositivo F5 de cara al público que haya llegado al final de su soporte.

Checklist de acción inmediata para empresas:

Estas medidas deben ser tomadas por todas las organizaciones, independientemente de los mandatos federales:

1. Parchee Inmediatamente: Aplique las actualizaciones de octubre de 2025 como referencia maestra para todos los activos F5 (BIG-IP, F5OS, BIG-IQ, etc.).
2. Endurecimiento del Plano de Gestión (¡CRÍTICO!): Retire cualquier exposición pública de la interfaz de gestión. Exija el acceso exclusivo mediante jump-box o VPN, y aplique MFA robusto.
3. Aumente la Visibilidad y el Monitoreo: Transmita eventos de BIG-IP a su SIEM (Sistema de Gestión de Eventos e Información de Seguridad). Configure syslog remoto y monitoree activamente inicios de sesión de administrador, fallos de autenticación, cambios de privilegios y actualizaciones de configuración.
4. Ejecute Controles de iHealth: Utilice la herramienta de diagnóstico iHealth de F5 para verificar automáticamente las brechas de endurecimiento y obtener pasos de remediación.
5. Caza de Amenazas (Threat Hunt): Utilice la guía de caza de amenazas de F5 y revise proactivamente cualquier acceso anómalo a artefactos de desarrollo o configuración.

Impacto a largo plazo

Aunque F5 asegura que la contención fue exitosa y no se observan nuevas actividades no autorizadas desde que comenzó la respuesta, el robo de código fuente y la inteligencia sobre vulnerabilidades aumenta materialmente el riesgo de explotación.

F5 ha tomado medidas exhaustivas para endurecer su propio entorno, incluyendo la rotación de credenciales, el fortalecimiento de los controles de acceso y la mejora de la seguridad de la red. La compañía contrató a CrowdStrike y Mandiant para la investigación forense.