La empresa estadounidense de ciberseguridad F5 reveló que piratas informáticos de estados-nación violaron sus sistemas y robaron vulnerabilidades de seguridad y código fuente de BIG-IP no reveladas.
La compañía afirma que tuvo conocimiento de la violación por primera vez el 9 de agosto de 2025, y sus investigaciones revelaron que los atacantes habían obtenido acceso a largo plazo a su sistema, incluido el entorno de desarrollo de productos BIG-IP y la plataforma de gestión de conocimientos de ingeniería de la compañía.
Con este acceso, los actores de amenazas pudieron robar el código fuente, información sobre vulnerabilidades y cierta información de configuración e implementación para un número limitado de clientes.
«Durante el curso de su investigación, la Compañía determinó que el actor de amenazas mantuvo acceso persistente a largo plazo a ciertos sistemas F5, incluido el entorno de desarrollo de productos BIG-IP y la plataforma de gestión de conocimientos de ingeniería», se lee en un Presentación del formulario 8-K con la SEC.
«A través de este acceso, se exfiltraron ciertos archivos, algunos de los cuales contenían ciertas partes del código fuente de BIG-IP de la compañía e información sobre vulnerabilidades no reveladas en las que estaba trabajando en BIG-IP».
F5 es un gigante tecnológico de Fortune 500 que se especializa en aplicaciones de ciberseguridad, gestión de la nube y redes de entrega de aplicaciones (ADN). La empresa tiene 23.000 clientes en 170 países y 48 de las entidades Fortune 50 utilizan sus productos.
BIG-IP es el producto estrella de la empresa utilizado en ADN y gestión del tráfico por muchas grandes empresas en todo el mundo.
A pesar de esta exposición crítica de fallas no reveladas, F5 dice que no hay evidencia de que los atacantes aprovecharan la información en ataques reales, como explotar la falla no revelada contra los sistemas. La empresa también afirma que no ha visto pruebas de que se haya divulgado información privada.
F5 afirma que el acceso de los actores de amenazas al entorno BIG-IP no comprometió su cadena de suministro de software ni dio lugar a modificaciones de código sospechosas.
Esto incluye sus plataformas que contienen datos de clientes, como sus sistemas CRM, financieros, de gestión de casos de soporte o iHealth. Además, otros productos y plataformas administrados por la empresa no se ven comprometidos, incluidos NGINX, F5 Distributed Cloud Services o el código fuente de los sistemas Silverline.
Sin embargo, la compañía afirma que todavía está revisando a qué clientes les robaron los detalles de configuración o implementación y se comunicará con ellos para brindarles orientación.
La compañía agregó que ha validado la seguridad de las versiones de BIG-IP a través de múltiples revisiones independientes realizadas por firmas líderes en ciberseguridad.
F5 señala en la presentación que el gobierno de EE. UU. solicitó retrasar la divulgación pública del incidente, presumiblemente para dar tiempo suficiente para proteger los sistemas críticos.
«El 12 de septiembre de 2025, el Departamento de Justicia de EE. UU. determinó que se justificaba un retraso en la divulgación pública de conformidad con el punto 1.05(c) del formulario 8-K. F5 ahora está presentando este informe de manera oportuna», explica F5.
F5 afirma que el incidente no tiene ningún impacto material en sus operaciones. Todos los servicios permanecen disponibles y se consideran seguros, según la última evidencia disponible.
BleepingComputer se ha puesto en contacto con F5 para solicitar más detalles sobre el incidente y actualizaremos esta publicación cuando recibamos una respuesta.
Esta es una historia en desarrollo.
Únete a la Cumbre de simulación de infracciones y ataques y experimentar el futuro de la validación de seguridad. Escuche a los mejores expertos y vea cómo BAS impulsado por IA está transformando la simulación de infracciones y ataques.
No te pierdas el evento que marcará el futuro de tu estrategia de seguridad
