La nueva Directiva Operativa Vinculante (BOD 26-02) establece un ultimátum: si el fabricante ya no soporta el dispositivo, este debe salir de la red. Una medida drástica para frenar la explotación de firewalls y routers obsoletos.
La era de “dejarlo encendido porque funciona” ha terminado oficialmente para el gobierno de los Estados Unidos. Hoy 6 de febrero de 2026, que la Agencia de Ciberseguridad e Infraestructura (CISA) ha emitido la Directiva Operativa Vinculante BOD 26-02, titulada “Mitigating Risk From End-of-Support Edge Devices”.
Esta orden obliga a todas las agencias civiles federales (FCEB) a desconectar y reemplazar físicamente cualquier dispositivo de borde (Edge Device) como firewalls, routers, concentradores VPN y balanceadores de carga que haya llegado al final de su vida útil (End-of-Life o EOS) y ya no reciba parches de seguridad del fabricante.
¿Por qué ahora? El Riesgo “Sustancial y Constante”
CISA ha sido clara: los dispositivos de borde obsoletos son el talón de Aquiles de la ciberseguridad nacional.
- El Problema: Estos dispositivos residen en el perímetro de la red, expuestos directamente a Internet. Al no recibir parches, son blancos fáciles para vulnerabilidades críticas (Zero-Day y N-Day) que los actores de amenazas (como Volt Typhoon o grupos de ransomware) explotan para ganar acceso inicial.
- La Justificación: “La amenaza inminente de explotación es sustancial y constante”, declara la agencia. Mantener hardware obsoleto expone al gobierno a “riesgos desproporcionados e inaceptables”.
Los Plazos del Ultimátum
La directiva BOD 26-02 no es una sugerencia, es una ley operativa con fechas límite estrictas:
- 3 Meses (Inventario): Las agencias deben identificar todos los dispositivos EOS en sus redes y reportarlos a CISA.
- 12 Meses (Desmantelamiento): Cualquier dispositivo que ya esté obsoleto (o lo esté en los próximos meses) debe ser desconectado y retirado de la red.
- Plan Continuo: Las agencias deben crear un proceso para detectar y reemplazar futuros equipos antes de que pierdan el soporte.
La “Lista Negra” de CISA
Para facilitar (y vigilar) el cumplimiento, CISA ha creado una “EOS Edge Device List” interna. Aunque no será pública para no dar pistas a los atacantes, contiene modelos específicos de hardware que ya no son seguros. Esto afecta a equipos antiguos de fabricantes comunes como Cisco, Fortinet, Juniper y SonicWall que a menudo se quedan olvidados en armarios de servidores o sucursales remotas.
Impacto para el Sector Privado
Aunque la directiva solo obliga legalmente a las agencias federales, CISA insta encarecidamente al sector privado a seguir el ejemplo:
- El Mensaje: Si el gobierno de EE. UU. considera que un dispositivo es demasiado peligroso para estar conectado, probablemente también lo sea para tu empresa.
- Acción Recomendada: Revisa tu inventario de hardware. Si tienes firewalls o VPNs que el fabricante dejó de soportar en 2024 o 2025, estás operando una puerta trasera abierta. Planifica su reemplazo inmediato.
