La Agencia de Ciberseguridad de EE. UU. ha catalogado el fallo explotado por hackers chinos como una emergencia nacional. Si las agencias no parchean “Dell RecoverPoint” para este sábado, deberán desconectar los sistemas.
La alerta roja ha pasado del sector privado a las más altas esferas del gobierno estadounidense. Hoy 19 de febrero de 2026, que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA) ha emitido una orden de emergencia (Binding Operational Directive 22-01) exigiendo a todas las agencias civiles federales que apliquen el parche de seguridad para el software de Dell en un plazo excepcionalmente corto de tres días.
Esta directiva, que vence el sábado 21 de febrero, subraya la gravedad extrema del fallo de credenciales codificadas (CVE-2026-22769) en Dell RecoverPoint for Virtual Machines, el cual, como informamos ayer, ha estado siendo explotado en secreto desde mediados de 2024.
Por qué CISA está en “Modo Pánico”
Normalmente, CISA otorga plazos de dos a tres semanas para que las agencias federales (FCEB) solucionen vulnerabilidades listadas en su catálogo KEV (Vulnerabilidades Explotadas Conocidas). Un plazo de tres días se reserva exclusivamente para fallos que representan un riesgo inminente de compromiso sistémico.
Las razones detrás de este ultimátum son contundentes:
- Explotación Activa (Zero-Day): El grupo de ciberespionaje vinculado a China, UNC6201, ya tiene un historial de éxito explotando esta falla para moverse lateralmente en redes gubernamentales.
- El Factor “Silk Typhoon”: Inteligencia de Google (GTIG) y Mandiant han encontrado solapamientos tácticos entre este ataque y el infame grupo Silk Typhoon, el cual previamente logró infiltrarse en el Departamento del Tesoro de EE. UU. y en la Oficina de Control de Activos Extranjeros (OFAC) utilizando tácticas similares (como los exploits de Ivanti).
- Persistencia Compleja: El malware desplegado tras el acceso inicial (específicamente los backdoors Grimbolt, Brickstorm y Slaystyle) está diseñado para ser indetectable, creando conexiones “fantasma” en los hipervisores de VMware.
La Directiva: Parchea o Desconecta
El mensaje de CISA a los administradores de sistemas federales no deja espacio para excusas operativas. La orden oficial estipula:
“Aplique las mitigaciones según las instrucciones del proveedor… o suspenda el uso del producto si las mitigaciones no están disponibles o no se pueden aplicar a tiempo”.
Esto significa que, si una agencia no puede actualizar sus servidores Dell RecoverPoint para el final del sábado, están legalmente obligados a desconectar esos appliances de la red, incluso si eso interrumpe sus operaciones de respaldo de máquinas virtuales.
Un Febrero Frenético
Este es el segundo ultimátum de “72 horas” que CISA emite en lo que va de mes. La semana pasada, la agencia tuvo que aplicar la misma medida drástica para la vulnerabilidad de Ejecución Remota de Código en BeyondTrust Remote Support (CVE-2026-1731), demostrando que la velocidad a la que los atacantes estatales están armando exploits está superando con creces los ciclos de parcheo tradicionales.
