SonicWall confirmó que actores no autorizados accedieron a copias de seguridad de configuraciones almacenadas en el servicio de backup del portal MySonicWall, afectando a todos los clientes que utilizaron esa función. La investigación, realizada junto con el equipo de respuesta a incidentes de Mandiant, determinó que los archivos de configuración (.EXP) ubicados en la nube fueron accedidos, y que el acceso malicioso ya ha sido bloqueado mientras la compañía colabora con autoridades y organismos sectoriales.
Alcance y cronología del incidente en MySonicWall
En septiembre de 2025, SonicWall alertó sobre actividad sospechosa en cuentas de MySonicWall e instó a cambiar credenciales de inmediato. En ese momento, la empresa indicó que el servicio de backup en la nube era usado por aproximadamente el 5% de su base y que el impacto afectaba a “algunas cuentas”. En su actualización más reciente, SonicWall precisa que el acceso abarcó las copias de seguridad de todos los clientes que emplearon el servicio en la nube, independientemente de su tamaño o sector.
Qué información quedó expuesta y por qué es relevante
Las copias de seguridad de configuraciones de firewalls condensan la política de red de una organización: objetos y zonas, reglas de acceso, NAT, enrutamiento, configuraciones de VPN, datos de administradores e integraciones. SonicWall afirma que las credenciales y los datos de configuración en los backups están protegidos con cifrado AES‑256. Aun así, los metadatos —topología, rangos de direcciones, servicios publicados— ofrecen contexto técnico valioso para planificar intrusiones, identificar superficies de ataque y acelerar la selección de exploits específicos de modelo y versión.
Riesgos operativos y tácticas probables de explotación
Con una configuración en mano, un atacante obtiene una “carta de navegación” de la red: puede localizar interfaces de administración expuestas, priorizar vectores contra túneles VPN y enlaces intersite, o ejecutar campañas de phishing técnico convincente. Informes independientes, como el Verizon Data Breach Investigations Report (DBIR), sitúan la compromisión de credenciales entre los vectores más frecuentes en brechas; el conocimiento previo de la arquitectura incrementa la probabilidad de explotación exitosa. Este incidente, por tanto, eleva la urgencia de la rotación de secretos y el endurecimiento de la superficie de gestión.
Cómo verificar el impacto en su entorno SonicWall
Revisión en el portal MySonicWall
Acceda a MySonicWall y navegue a Product Management → Issue List. Si se listan acciones pendientes, ejecute cuanto antes los pasos del procedimiento Essential Credential Reset, comenzando por los firewalls con acceso a Internet.
Rotación prioritaria de credenciales y endurecimiento del perímetro
- Cuentas administrativas: cambie todas las contraseñas, deshabilite cuentas inactivas o sospechosas e implemente MFA en todos los accesos posibles.
- VPN e identidad: regenere secretos PSK, certificados y claves privadas; actualice anclas de confianza si procede.
- Integraciones: rote secretos de RADIUS/TACACS+/LDAP, API keys y SNMP (community/USM).
- Superficie de gestión: restrinja interfaces administrativas por IP/red, utilice jump-host o VPN y bloquee la gestión desde segmentos no confiables.
- Higiene y monitoreo: aplique firmware actualizado, revise logs por inicios de sesión y cambios de política anómalos, y active alertas y telemetría reforzada.
Resiliencia a medio plazo y gobierno de copias de seguridad
Replantee la política de backups con segregación, acceso mínimo necesario y gestión de claves separada. Considere almacenar configuraciones cifradas fuera de nubes públicas, con custodia independiente de claves (p. ej., HSM o KMS segregado) y registros de acceso inmutables. El fortalecimiento de procesos debe incluir pruebas periódicas del plan de respuesta a incidentes, automatización de rotación de secretos e inventario continuo de servicios expuestos. Buenas prácticas de referencia: NIST SP 800‑53 (controles de acceso y gestión de configuración) y CIS Controls (gestión de activos y endurecimiento).
Este incidente confirma que, incluso con cifrado sólido como AES‑256, la exposición de configuraciones amplifica la superficie de ataque. Actuar con rapidez —rotar secretos críticos, reforzar la gestión remota, aplicar telemetría y revisar supuestos arquitectónicos— reduce el riesgo de explotación posterior. Manténgase atento a los boletines de SonicWall y Mandiant, verifique el estado en Issue List y ejecute el Essential Credential Reset para contener y mitigar impactos en el corto y mediano plazo.
