Todas las agencias del gobierno federal deben tomar medidas para minimizar los riesgos que representan los actores de amenazas cibernéticas para los dispositivos "periféricos" de sus redes que actualmente no cuentan con el soporte de los proveedores, según lo establecido por la Agencia de Seguridad Cibernética y de Infraestructura (CISA, por sus siglas en inglés) en una directiva del 5 de febrero. Esto incluye el desmantelamiento de dichos componentes.
La Directiva Operativa Vinculante (BOD) emitida por la CISA es "una instrucción obligatoria para el poder ejecutivo federal, los departamentos y las agencias", según la directiva, y tiene por objeto proteger los sistemas y datos de información federales.
La agencia advirtió que Estados Unidos se enfrenta a "campañas cibernéticas persistentes" que amenazan a los sectores público y privado. Estas campañas son posibles gracias a dispositivos no compatibles, concretamente aquellos situados en el "perímetro de la red de una organización", según la CISA.
Entre estos dispositivos periféricos se incluyen routers, cortafuegos, dispositivos de seguridad de red, conmutadores y puntos de acceso inalámbricos.
Los dispositivos no compatibles también se denominan dispositivos con fin de soporte (EOS).
Historias relacionadas
"La amenaza inminente de explotación de los sistemas de información de las agencias que utilizan dispositivos periféricos EOS es considerable y constante, lo que supone una amenaza significativa para la propiedad federal", dice la directiva.
"Los dispositivos periféricos son objetivos atractivos debido a su amplio alcance en la red de una organización y a su integración con los sistemas de gestión de identidades.
Estos dispositivos son especialmente vulnerables a los ataques cibernéticos que se dirigen a vulnerabilidades recién descubiertas y sin parchear.
"Además, ya no reciben actualizaciones compatibles del fabricante del equipo original, lo que expone a los sistemas federales a riesgos desproporcionados e inaceptables".
La directiva de la CISA se produce en medio de la creciente preocupación por las amenazas cibernéticas dirigidas a los activos estadounidenses por parte de rivales extranjeros como China y Rusia.
En agosto de 2025, la CISA y varios socios internacionales advirtieron que los autores de amenazas cibernéticas patrocinados por el Partido Comunista Chino tenían como objetivo las redes globales, incluidas las infraestructuras gubernamentales, de telecomunicaciones, de transporte y militares.
Los datos robados por los autores maliciosos "en última instancia, pueden proporcionar a los servicios de inteligencia chinos la capacidad de identificar y rastrear las comunicaciones y los movimientos de sus objetivos en todo el mundo", según el aviso.
Historias relacionadas
En diciembre de 2025, la CISA emitió una alerta en la que advertía de que actores patrocinados por el Estado chino estaban utilizando el malware BRICKSTORM para infectar empresas estadounidenses y entidades gubernamentales, obteniendo acceso a largo plazo a los sistemas de las víctimas.
En una de las organizaciones en las que la CISA llevó a cabo una intervención de respuesta a incidentes, se descubrió que los hackers obtuvieron acceso a las redes de la entidad en abril de 2024 y lo mantuvieron hasta septiembre de 2025.
El 9 de diciembre, la CISA advirtió de que ciberdelincuentes afiliados a Rusia estaban llevando a cabo actividades maliciosas para perturbar la infraestructura crítica de Estados Unidos y sus aliados.
El "enfoque amplio e indiscriminado de los hackers les ha permitido atacar una amplia gama de sectores, desde instalaciones de tratamiento de agua hasta sistemas de pozos de petróleo, a menudo utilizando métodos fácilmente repetibles y poco sofisticados", dijo la agencia en un comunicado de prensa.
Directivas BOD
La última vez que la CISA emitió una BOD fue hace más de un año, en diciembre de 2024. Esa BOD específica se emitió para implementar prácticas seguras para los servicios en la nube en las agencias federales.En ese momento, la CISA advirtió que los actores maliciosos se estaban centrando cada vez más en los entornos en la nube, y que algunos de los incidentes de ciberseguridad estaban relacionados con los riesgos creados por una configuración inadecuada de los controles de seguridad en dichos entornos.
En su última directiva, la CISA advirtió que tenía conocimiento de "campañas de explotación generalizadas" iniciadas por actores maliciosos avanzados que tenían como objetivo los dispositivos periféricos EOS.
La directiva pedía a las agencias federales que actualizaran inmediatamente todos los dispositivos periféricos compatibles con EOS que utilizaran software EOS.
En un plazo de tres meses, las agencias deben hacer un inventario de todos los dispositivos de su red que figuran en la lista de dispositivos periféricos EOS de la CISA. Y en un plazo de 12 meses, las agencias deben retirar todos los dispositivos identificados en la lista de la CISA e informar de su retirada a la agencia.
"Las agencias que no mantienen procesos adecuados de gestión del ciclo de vida de los dispositivos periféricos corren un mayor riesgo de compromiso y un mayor riesgo general asociado a la tecnología EOS", advirtió la CISA.
