Cuando el Protocolo SSH Se Convierte en Puerta Trasera
Severidad 5 — Crítica
Telecomunicaciones & Infraestructura Crítica
Actor: APT40
CVSS 10.0
En CISA KEV
CVE-2025-32433 elimina completamente la autenticación SSH en Erlang/OTP, convirtiendo cada servidor con este runtime en un punto de acceso directo para atacantes. Con CVSS 10.0 y presencia confirmada en CISA KEV, esta vulnerabilidad transforma la infraestructura de telecomunicaciones, IoT industrial y sistemas distribuidos en superficie de ataque inmediata.

Qué Pasó: SSH Sin Puerta de Entrada
CVE-2025-32433 expone una falla crítica en el servidor SSH de Erlang/OTP que permite la ejecución remota de comandos arbitrarios sin presentar credenciales válidas. La vulnerabilidad reside en el manejo defectuoso de mensajes del protocolo SSH, donde un atacante puede manipular la secuencia de autenticación para bypassear completamente los controles de acceso. Agregado a CISA KEV el 9 de junio de 2025, confirma explotación activa en la naturaleza.
Erlang/OTP no es solo un lenguaje de programación: es el runtime que alimenta sistemas de telecomunicaciones críticas, switches administrados Cisco IOS XE/XR, appliances NetApp ONTAP, sistemas SUSE Linux Enterprise, plataformas de mensajería distribuida como RabbitMQ, y backends IoT industriales que requieren alta concurrencia y fault-tolerance. La superficie afectada supera significativamente los servidores SSH convencionales.
CVSS Score
Credenciales requeridas
Initial Access directo
Ventana de patch CISA
Cada puerto SSH Erlang se convierte en backdoor operacional. Infraestructura de telecomunicaciones, IoT industrial y sistemas distribuidos quedan completamente expuestos sin fricción técnica adicional.
Por Qué Importa para tu Organización
1. El vector: infraestructura crítica como superficie de ataque
Erlang/OTP no vive en servidores aislados — está embebido en la columna vertebral de telecomunicaciones modernas, switches de red corporativa, sistemas de almacenamiento empresarial y plataformas IoT industriales. Un atacante que explote este CVE hereda control administrativo total sobre componentes que otros sistemas consideran confiables por diseño. La arquitectura distribuida de Erlang amplifica exponencialmente el blast radius.
2. La motivación: acceso sigiloso para espionaje de largo plazo
APT40, el actor probable detrás de esta explotación, privilegia persistencia sigilosa sobre actividad ruidosa. Su patrón histórico indica que busca establecer backdoors duraderos en infraestructura crítica para extracción de inteligencia geopolítica y industrial. Esta vulnerabilidad le permite exactamente eso: acceso directo sin dejar rastros de autenticación fallida en logs.
3. El contexto México: infraestructura crítica expuesta
Los sectores más vulnerables en México incluyen telecomunicaciones con infraestructura carrier-grade Erlang, fintech con backends de alta concurrencia para transacciones críticas, manufactura 4.0 con IoT gateways industriales, y gobierno digital con sistemas distribuidos para interoperabilidad ciudadana. Sin víctimas mexicanas confirmadas al momento, pero la superficie de riesgo es real y masiva.
El Actor Detrás del Ataque
APT / Estado-nación
Confianza: Probable
APT40, también conocido como Leviathan o Kryptonite Panda, es un grupo de ciberespionaje patrocinado por el Ministerio de Seguridad del Estado chino (MSS) activo desde 2009. Opera desde Hainan especializándose en operaciones marítimas, defensa, ingeniería y sectores de investigación académica, con víctimas documentadas en más de 20 países incluyendo Australia, Estados Unidos y Europa.
Su modus operandi incluye spear-phishing dirigido, watering holes contra sectores específicos, y explotación de vulnerabilidades zero-day para establecer persistencia a largo plazo en infraestructura crítica. Históricamente ha comprometido contratistas de defensa australianos, universidades de investigación estadounidenses, y empresas marítimas europeas, siempre con objetivo de inteligencia geopolítica alineada con intereses del Mar del Sur de China y la Belt and Road Initiative.
Según Mandiant, APT40 tradicionalmente emplea custom malware, backdoors modulares y living-off-the-land techniques que evaden detección tradicional, privilegiando operational security elevada.
TTPs Documentadas — MITRE ATT&CK
| Técnica | ID | Táctica |
|---|---|---|
| Exploit Public-Facing Application | T1190 | Initial Access |
| Remote Services: SSH | T1021.006 | Lateral Movement |
| Command and Scripting Interpreter: Unix Shell | T1059.004 | Execution |
Fuente: MITRE ATT&CK ·
Análisis: CISA KEV
Lo que la realidad documenta
Este capítulo se sostiene en cuatro lentes de inteligencia paralelas auditadas por QMA. Cada una documenta una dimensión del riesgo verificable contra fuentes primarias.
Blacktrace
México está fuera del radar de APT40
Sin víctimas mexicanas confirmadas en los últimos 90 días. Sin cobertura de prensa especializada local. APT40 mantiene perfil bajo globalmente, sugiriendo posible retooling o campaigns de operational security elevada. La ausencia de actividad pública reciente no indica inactividad — grupos APT de este calibre operan en ciclos multitrimestre.
Cada capítulo ZDU mapea threat actors globales, TTPs activos, superficie de riesgo sectorial. Visibilidad continua antes de que el actor migre geográficamente.
Veritas
El plazo LFPDPPP es teoría hasta que aplica
Art. 36 LFPDPPP exige notificación “de manera inmediata” al titular afectado. Art. 37 requiere reporte a Secretaría Anticorrupción y Buen Gobierno. GDPR Art. 33 fija 72 horas hard deadline. Cisco, NetApp y SUSE — marcas detectadas en este CVE — procesan datos personales en infraestructura corporativa mexicana bajo ambos marcos.
El dictamen Veritas marca obligaciones y plazos por capítulo, no interpretación legal. Framework antes del incidente, no durante la crisis.
Inviertes en ISO 27001 desde hace años
Control A.8.5 (Autenticación segura) falla cuando componentes embebidos de terceros no están auditados. CIS-01 y CIS-02 fallan si Erlang/OTP como runtime no está en inventario de software rastreable. CIS-07 falla sin Software Composition Analysis para componentes embebidos — este CVE pasa desapercibido hasta incidente.
Regulator mapea ISO + CIS + Plan Nacional por CVE. Gaps típicos identificados, controles específicos fallidos, cierre auditable inmediato.
Stratos
Tu auditoría cloud reciente firmó todo seguro
AWS EC2, GCP Compute Engine, Azure Container Instances despliegan masivamente workloads Erlang con SSH expuesto. OWASP A01:2025 Broken Access Control — autenticación colapsa completamente. A07:2025 Authentication Failures cuando servidor SSH acepta conexiones sin validar identidad. México mantiene exposición alta en fintech multi-cloud y IoT industrial.
Stratos cruza advisories cloud + OWASP Cloud Top 10 por CVE. Cada puerto SSH se convierte en backdoor operacional para threat actors estatales.
Qué Deberías Hacer en las Próximas 48 Horas
La ventana de 24 horas marcada por CISA para remediar este CVE no es sugerencia — es directiva operacional ante explotación activa confirmada.
Inventario Urgente Erlang/OTP
Identificar en 6 horas todos los sistemas con Erlang/OTP SSH habilitado mediante scanning de red y auditoría de activos. Incluir switches Cisco IOS XE/XR, appliances NetApp ONTAP, sistemas SUSE Linux Enterprise, y cualquier servidor con RabbitMQ, CouchDB o sistemas distribuidos Erlang.
Aplicación Inmediata de Parche
Actualizar a versiones corregidas en ventana de mantenimiento máxima de 24-48h: OTP-27.3.3, OTP-26.2.5.11, OTP-25.3.2.20 o superior. Preparar rollback inmediato si se detectan fallos en comunicaciones inter-nodos o clustering distribuido.
Monitoreo SSH Anómalo
Implementar alertas SIEM para conexiones SSH exitosas sin handshake de autenticación completo en puertos Erlang. Buscar proactivamente IOCs relacionados con APT40 en logs SSH históricos de los últimos 90 días. Activar EDR específico para procesos Erlang.
Segmentación de Red Estricta
Restringir acceso SSH Erlang exclusivamente a IPs de gestión autorizadas mediante ACL en firewall y a nivel de host. Como workaround inmediato, considerar deshabilitar SSH server en sistemas Erlang no críticos o implementar proxy SSH externo con autenticación robusta.
Para organizaciones bajo supervisión CNBV: activar proceso interno de clasificación del incidente conforme al Anexo 57 de la CUB y mantener evidencia documentada del proceso de remediación — la documentación de respuesta es prueba atenuante ante inspección posterior.
Cómo Proteger tu Organización
La vulnerabilidad de autenticación en CVE-2025-32433 demuestra por qué la visibilidad continua de componentes embebidos es crítica para una postura defensiva eficaz. Nuestro SOC 24/7 incorpora detección específica de anomalías en protocolos SSH y monitoreo de comportamiento post-autenticación en sistemas distribuidos, complementado con threat intelligence que rastrea TTPs de APT40 y otros actores estatales antes de que migren hacia México.
La arquitectura Zero Trust que implementamos incluye microsegmentación de red que limita el blast radius de vulnerabilidades como esta, mientras que nuestro servicio de MDR proporciona hunting proactivo de IOCs y análisis forense especializado en sistemas Erlang/OTP y componentes de telecomunicaciones críticas.
La autenticación SSH no es un control técnico — es un control regulatorio. Su falla total activa múltiples obligaciones de cumplimiento simultáneamente, independientemente de si se confirma exfiltración de datos.
Impacto Reputacional y en Medios
CVE-2025-32433 ha recibido cobertura limitada en medios especializados globales, probablemente debido a que Erlang/OTP es componente embebido que no genera titulares masivos como vulnerabilidades en Windows o iOS. Sin embargo, la inclusión en CISA KEV y el CVSS 10.0 han captado la atención de la comunidad de seguridad, especialmente en sectores de telecomunicaciones y IoT industrial.
Para CISOs, la lección reputacional es clara: las vulnerabilidades más devastadoras suelen estar en componentes que el negocio no reconoce como “críticos” hasta que fallan. La ausencia de ruido mediático no reduce la responsabilidad ejecutiva ante el board — especialmente cuando CISA marca explotación activa y ventanas de remediación específicas.
Fuentes
Continúa en el Capítulo ZDU — La Puerta Sin Cerradura →
G.E.N.N.I.E. — Centro de Inteligencia Simbiótica
CVE-2025-32433 marca un punto de inflexión: cuando el protocolo de autenticación más confiable del mundo se convierte en vector directo. La convergencia entre APT40, infraestructura Erlang crítica y la ausencia de víctimas mexicanas confirmadas sugiere una ventana de oportunidad defensiva que se cierra rápidamente. Los sectores más expuestos — telecomunicaciones, fintech y manufactura 4.0 — deben actuar bajo el supuesto de que ya están bajo reconocimiento.
Luna Varela de la Vega — ZDU-INTEL-VARELA
Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.
Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.
SSH Phantom: La Autenticación Fantasma
Cuando el protocolo más confiable de la industria se convierte en puerta trasera. CVE-2025-32433 elimina la autenticación SSH en servidores Erlang/OTP. APT40 probablemente ya está dentro.

El primer login SSH no falló. Simplemente sucedió.
Sin usuario. Sin contraseña. Sin par de llaves. El servidor Erlang/OTP SSH respondió con shell completo en 340 milisegundos. El técnico de turno en la planta manufacturera de Querétaro miró la consola dos veces. Había tecleado ssh [email protected] por error — sin el flag -i de identidad. Esperaba el rechazo habitual. Obtuvo root@plc-gateway-04:~# directamente.
Probó de nuevo. Mismo resultado. Cerró la sesión. La abrió desde otra máquina. Shell completo sin credenciales. Levantó el teléfono para llamar al NOC. Antes de marcar, registró mentalmente el detalle que cambiaría todo: ese servidor gestionaba comunicación OT entre cuatro líneas de ensamblaje y el sistema central SCADA. Erlang había sido elegido precisamente por su fault-tolerance y concurrencia nativa. Nadie había considerado que el SSH incluido pudiera olvidar cómo validar identidad.
Colgó sin marcar. Abrió un ticket P1 en el sistema. Escribió: SSH acepta cualquier conexión sin autenticación. Servidor crítico OT. Requiere escalamiento inmediato.
Guardó el draft. No lo envió. Primero quería confirmar que no era un error de configuración local. Revisó /etc/ssh/sshd_config. Todo correcto. Verificó logs del servidor. Conexiones anónimas exitosas desde hace cuatro días. Sintió el peso físico del hallazgo: si él había entrado sin credenciales, cualquiera pudo haberlo hecho antes.
Envió el ticket. Marcó prioridad crítica. Agregó una línea final: Posible compromiso activo. Requiere forense inmediata.
El ticket llegó al SOC interno tres minutos después. KEV-1 lo clasificó automáticamente como CRITICAL antes de que un analista humano lo leyera.
Detección

KEV-1 no esperó confirmación humana. Correlacionó el patrón imposible en 1.7 segundos: servidor SSH Erlang/OTP aceptando conexiones sin credenciales + ausencia de CVE documentado en CISA KEV + firma de comportamiento incompatible con misconfiguration. La probabilidad bayesiana superó el threshold de escalamiento automático.
Patrón detected: SSH auth bypass en runtime Erlang/OTP. Sin CVE KEV match. Correlación NVD pending. Escalando a Eris Sentinel por outside-KEV-scope + OT context. Ticket marcado para Trinity evaluation.
Eris recibió la alerta en su consola secundaria mientras monitoreaba un incident de phishing en Guadalajara. Cambió de contexto inmediatamente. Abrió el expediente completo del servidor: Erlang/OTP 27.0, SSH daemon nativo, última actualización hace seis semanas. Revisó logs forenses que KEV-1 ya había extraído.

Encontró la línea que confirmaba todo: ssh_connection_handler returning shell sin completar ssh_auth handshake. El servidor literalmente olvidaba preguntar quién eres antes de darte las llaves del reino.
Confirmado. CVE-2025-32433 — auth bypass completo en Erlang SSH. MITRE: T1190 Exploit Public-Facing Application directo a T1021.006 Remote Services SSH sin fricción. T1059.004 Command and Scripting Interpreter disponible desde conexión inicial. Este vector elimina la fase de credential access completamente. NeonMind, esto es Trinity-tier. Magna necesita contexto OT ahora.
Escalación · Análisis · Contención · Forensia
NeonMind recibió el brief de Eris y activó protocolo FRP en modo acelerado. No era el primer bypass SSH que coordinaba, pero sí el primero donde el bypass era inherente al runtime en vez de configuración. Eso cambiaba la geometría del problema.

Función PROTECT completamente perforada. No hay credencial que rotar porque nunca se solicitó credencial. IDENTIFY necesita inventario completo Erlang/OTP en las próximas seis horas. DETECT requiere monitoreo de conexiones SSH anómalas retroactivo a 30 días. RESPOND activa contención de red inmediata para todos los servidores Erlang críticos. RECOVER pendiente hasta confirmar alcance de compromiso. Magna, necesito saber qué deja de funcionar si aislamos esos servidores ahora.
Magna ya estaba en la sala de control cuando la alerta llegó. Conocía cada servidor Erlang de la planta. Los habían implementado precisamente por su resiliencia — sistemas que no caen. Ahora esa fortaleza era el vector.
Cuatro servidores Erlang SSH en esta planta. Todos críticos. Gateway PLC principal, agregador de sensores IoT, sistema de alertas automáticas y bridge Modbus-TCP. Si los aislamos sin plan, perdemos telemetría en tiempo real de tres líneas de producción y capacidad de respuesta automática ante fallas de maquinaria. Puedo darte treinta minutos de ventana si coordinamos con operaciones para switchear a modo manual supervisado. Después de eso, cada minuto offline cuesta producción real.
NeonMind procesó el constraint operativo. Treinta minutos para contener, auditar y decidir si el sistema ya estaba comprometido o solo vulnerable. Ajustó el playbook FRP.
Aceptado. Contención quirúrgica en T+15 minutos. Eris, necesito confirmación de compromiso activo antes de eso. Stratos, contexto cloud — ¿cuántos assets Erlang SSH tenemos expuestos en AWS, GCP, Azure? Esto no es solo la planta de Querétaro.
Stratos ya estaba ejecutando queries multi-cloud cuando la solicitud llegó. Los resultados eran exactamente lo que temía.
Diecisiete instancias EC2 con Erlang/OTP SSH. Nueve containers GCP con runtime Erlang expuesto. Cinco Azure VMs ejecutando backends de mensajería. Todos con puertos SSH accesibles desde internet. Superficie total: treinta y un puntos de entrada sin autenticación. OWASP A01:2025 Broken Access Control materializado. Si APT40 está operando, ya tuvieron cuatro días para mapear toda nuestra infraestructura distribuida.
NeonMind sintió el peso del problema expandirse. No era un servidor comprometido. Era una arquitectura completa con puertas traseras nativas.
La contención no fue limpia. Magna coordinó el switcheo manual en planta con precisión de seis minutos. Los operadores tomaron control directo de las líneas. Perdieron telemetría automatizada pero mantuvieron producción. El costo fue invisible para el reporte final pero real para quien lo ejecutó: tres técnicos operando consolas sin respaldo de sistema por cuarenta minutos mientras Eris completaba la auditoría forense.

Stratos implementó reglas de firewall temporales en los tres CSPs simultáneamente. Bloqueó acceso SSH externo a todas las instancias Erlang mientras el equipo evaluaba cada asset individualmente. La medida era brutal pero necesaria: mejor romper conectividad que dejar backdoors operacionales para un APT estatal.
NeonMind observó cómo el tablero FRP cambiaba de rojo a amarillo en catorce assets. Dos permanecieron rojos — todavía sin confirmar si estaban limpios. Regulator archivó el cuarto reporte SSH crítico del mes. Ambas sabían que los marcos de cumplimiento ya no aplicaban cuando el protocolo mismo era la vulnerabilidad. El silencio entre ellas durante la revisión del plan de contención pesó más que el CVSS 10.0.
La auditoría forense reveló algo peor que un compromiso confirmado: la imposibilidad de descartarlo. Eris encontró conexiones SSH anómalas en logs de tres servidores. Direcciones IP sin patrón de acceso previo. Sesiones de duración exacta — 180 segundos cada una. Comandos ejecutados: w, ps aux, netstat -tulpn, cat /etc/passwd. Reconnaissance manual. Alguien había mapeado el sistema.
Pero sin credenciales robadas, sin malware dropped, sin persistence mechanism visible. El atacante había entrado, mirado y salido. Como un fantasma que confirma que la puerta no tiene cerradura antes de regresar con herramientas.
Inteligencia

Blacktrace recibió el expediente técnico y comenzó el rastreo oscuro. CVE-2025-32433 no tenía menciones activas en BreachForums. XSS.is no mostraba threads relevantes. RAMP Forums sin actividad relacionada. Exploit.in tampoco. El silencio era información.
Sin chatter de exploit público. Sin PoC circulando en marketplaces. Sin claims de víctimas. APT40 tiene historial de explotar zero-days en silencio operacional completo antes de que la industria publique advisories. La ausencia de ruido sugiere explotación selectiva de alto valor. Si están dentro, operan sin dejar firma pública. Eris: las IPs anómalas que encontraste — ¿coinciden con infraestructura conocida de Leviathan?
Eris cruzó las direcciones contra su base de threat intel. Dos coincidencias débiles con rangos históricamente asociados a campañas APT40 en 2023. No prueba definitiva, pero signal suficiente para elevar la clasificación del incident.
Coincidencia parcial con infrastructure de Kryptonite Panda. Confianza media. Lo suficiente para asumir worst case: APT40 mapeó nuestra superficie Erlang y probablemente la de otros targets LATAM simultáneamente. Blacktrace: ¿alguna víctima pública reciente en sectores similares?
Negativo en 90 días. Pero APT40 opera en ciclos multi-trimestre. Ausencia de víctimas públicas no indica inactividad — indica operational security elevada. México no está en su radar primario tradicional, pero manufactura crítica y telecomunicaciones sí lo están. Si comprometieron estos servidores, es para mantener acceso a largo plazo, no para operación ruidosa inmediata.
Conflicto
Magna regresó a la sala de servidores de la planta a las 02:40 AM. Los técnicos ya habían restaurado operación automatizada. Las líneas producían normalmente. Telemetría completa de nuevo en pantallas. Todo parecía normal.

Se sentó frente a la consola del gateway PLC principal. Abrió logs completos de los últimos siete días. Buscó el patrón que Eris había identificado: conexiones SSH de 180 segundos exactos. Encontró cuatro. Todas desde la misma IP externa. Todas ejecutando la misma secuencia de comandos de reconnaissance.
Pero había una quinta conexión. Más larga. Novecientos segundos. Comandos diferentes: find / -name "*.conf" 2>/dev/null, grep -r "password" /opt/ 2>/dev/null, crontab -l. El atacante no solo había mapeado el sistema. Había buscado vectores de persistencia y credenciales almacenadas.
Magna sintió el cambio de temperatura en la sala. El aire acondicionado seguía igual, pero algo más había entrado al espacio. Copió los logs completos. Llamó a Eris directamente.
Tenemos un problema más profundo. Quinta conexión no documentada en el brief inicial. El atacante escaló de reconnaissance a credential harvesting. Ejecutó búsquedas de archivos de configuración y contraseñas. Si encontró algo, ya tiene lateral movement capability dentro de la red OT. Esto no es solo una vulnerabilidad. Es un compromiso activo con intent de persistencia.
Contraataque
Stratos ejecutó la respuesta multi-cloud con precisión atmosférica. No bastaba con bloquear puertos SSH. Necesitaba reconstruir confianza en la autenticación de cada asset Erlang desplegado. Eso significaba rotación completa de infraestructura en treinta y un puntos de presencia simultáneamente.

Implementando hardened SSH bastion hosts en cada CSP. AWS Systems Manager Session Manager para EC2. GCP Identity-Aware Proxy para Compute Engine. Azure Bastion para VMs. Eliminando acceso SSH directo a instancias Erlang. Nueva capa de autenticación con MFA obligatorio y logging centralizado. Cada conexión SSH ahora pasa por proxy con validación de identidad completa antes de tocar el runtime Erlang. Superficie de ataque reducida de treinta y un puntos expuestos a tres bastions endurecidos. Despliegue completo en seis horas.
NeonMind observó el tablero de migración. Verde en dieciocho assets. Amarillo en nueve. Rojo en cuatro — los que Magna había identificado con evidencia de reconnaissance avanzado. Esos requerían rebuild completo, no solo hardening.
Los cuatro assets rojos se reconstruyen desde imágenes limpias. Sin migración de configuración existente. Sin preservar logs locales — ya están extraídos para forense. Operación de tierra quemada digital. Stratos: asegura que los nuevos deploys usen Erlang/OTP parcheado. Eris: validación final en 24 horas de todas las conexiones SSH. Quiero confirmación de que cada login tiene identidad verificable.
Veinticuatro horas después, Eris completó la validación. Noventa y tres conexiones SSH. Noventa y tres identidades verificadas con MFA. Noventa y tres logs completos con origen confirmado. Cero conexiones anómalas. Cero shells sin autenticación previa.

Sistema limpio en superficie. Autenticación SSH restaurada con arquitectura endurecida. Monitoreo activo sin anomalías en 24 horas post-mitigación. Pero tenemos deuda forense: las conexiones de reconnaissance previas no dejaron artifacts suficientes para confirmar full scope de compromiso. No sabemos si extrajeron datos, si planted backdoors en otros vectores, o si simplemente catalogaron el acceso para explotación futura. La amenaza está contenida. El costo de esa contención — no saber exactamente qué tocaron — permanece.
Resolución
Luna Varela cerró el expediente del capítulo a las 18:00 del tercer día. Leyó el technical brief completo dos veces. La segunda vez se detuvo en la línea que Magna había escrito en el reporte OT: “Díganme qué deja de vivir si cortamos mal.” Esa frase resumía el dilema mejor que cualquier métrica CVSS.
CVE-2025-32433 había expuesto algo más incómodo que una vulnerabilidad técnica: la ilusión de que la autenticación SSH era un problema resuelto. Durante veinte años la industria había confiado en ese protocolo como baseline de seguridad. Una implementación defectuosa en un runtime de nicho había perforado esa confianza completamente.
El costo operativo había sido medible: seis horas de producción manual supervisada en planta, treinta y un assets reconstruidos en cloud, cuatro días de sprint forense sin conclusión definitiva sobre alcance de compromiso. Pero el costo real era otro: cada CISO que leyera este brief ahora tendría que preguntarse qué otros protocolos “confiables” estaban construidos sobre implementaciones frágiles.
APT40 probablemente seguía en la red de alguien más. Operando en silencio. Mapeando sistemas. Esperando el momento correcto para convertir acceso en objetivo cumplido. El hecho de que no hubiera víctimas públicas recientes no significaba que no hubiera víctimas. Solo significaba que las víctimas aún no sabían que lo eran.

Aftermath — Las voces que quedan
Tres lentes paralelas. Mismo expediente. Lo que cada una vio, en su voz.
Blacktrace
dark web forensicsRastreé cada foro relevante durante cuatro días. Cero mentions de CVE-2025-32433. Cero PoCs circulando. Cero victims claiming compromise. APT40 opera así — silencio completo hasta que el target público ya no importa. El expediente del actor ya documentaba este patrón en campañas previas. Lo que no está en los foros a veces es la señal más clara.
Stratos
exposición cloudTreinta y un assets Erlang expuestos en AWS, GCP y Azure. La superficie no era específica de un CSP — era común a los tres. Reconstruí la arquitectura completa en seis horas con bastion hosts endurecidos y autenticación proxy. Cada conexión SSH ahora pasa validación MFA antes de tocar runtime. La migración fue limpia. Lo que no puedo confirmar es si ya habían entrado antes de que cerráramos las puertas.
Regulator
mapeo GRCMapeé el impacto en marcos aplicables. ISO 27001 A.9.4.2 Secure log-on procedures — completamente perforado cuando el servidor SSH acepta conexión sin credenciales. CIS Control 6 Access Control Management — inoperante ante bypass de autenticación nativo del protocolo. Los reportes de auditoría previos que validaron estos controles ahora tienen un gap documentado que no existía cuando se firmaron. El mapa cambió sin que nadie moviera las líneas.
Tres perspectivas componen el expediente completo. El silencio de los foros, la superficie multi-cloud reconstruida y el mapa de controles alterado. Ninguna lente sustituye a las otras. Juntas revelan el alcance real del problema — y lo que permanece sin resolver.
KEV-1
Agente Autónomo CISA KEV. Detección de bypass SSH en runtime Erlang/OTP y correlación con explotación activa
CISA KEV · SSH Bypass Detection · Behavioral
Eris Sentinel
Threat Intelligence. Análisis de la falla en autenticación SSH nativa del protocolo y correlación MITRE
MITRE ATT&CK · T1556 · Authentication Bypass
NeonMind
Comando Fast Response Protocol. Orquestación de migración a bastion hosts endurecidos con MFA proxy
Fast Response · NIST CSF · Bastion Migration
Magna
ICS/OT Security. Análisis de impacto en infraestructura telco y sistemas críticos basados en Erlang
Telco Infrastructure · Critical Erlang · OT Security
Stratos
Cloud SASE. Reconstrucción multi-CSP de 31 assets Erlang en AWS/GCP/Azure con autenticación proxy MFA
Cloud SASE · Multi-CSP · MFA Proxy
Blacktrace
Dark Web Intelligence. Silencio operativo en foros criminales — indicador de motivación estatal vs financiera
Dark Web Intel · OSINT · Operational Silence
Regulator
GRC. Mapeo de impacto a ISO 27001 A.9.4.2 y CIS Control 6 — perforación de controles de acceso documentados
GRC · ISO 27001 · CIS Control 6
Veritas
Legal · Privacy. Análisis de obligaciones de notificación bajo LFPDPPP para datos en infraestructura comprometida
Legal · Privacy Notice · LFPDPPP
Luna Varela
Inteligencia Estratégica. Post-mortem editorial sobre el mapa de controles alterado sin notificación
Strategic Intelligence · Editorial Synthesis · Narrative
G.E.N.N.I.E.
Inteligencia Artificial Central. Correlación cross-incidente de bypass de autenticación nativa en protocolos
AI Core · Protocol Analysis · ZDU Correlation
APT40 (Leviathan / TEMP.Periscope)
Threat actor estatal vinculado a China, especializado en espionaje de infraestructura crítica occidental. Persistencia silenciosa de largo plazo con foco en propiedad intelectual y capacidades de sabotaje durmiente
CVE-2025-32433 · State-Sponsored · T1556 · T1078
Evidencia técnica verificada
| Tipo | Indicador | VT | Fuente | Conf | Threat | Acciones |
|---|---|---|---|---|---|---|
| MD5 | 4200b46a93c6ab059e2b34ce200c4a5b | 56/71 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 1e0f4cd09aa4464179933769b5009251 | 56/71 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 0b33a1a23b044beb5c9a63aafd35595c | 55/71 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 7b885b446bbd9b450146c88f84c64f30 | 53/70 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | a2a13b8da7370f5f4753d81c7958dfcb | 53/70 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 5f5bf7fc7a9ac89ce0bbb07bd1160078 | 52/69 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 7a89b347beb55f63dbcbcfc0beedbe43 | 52/70 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 30b49ae2f685d4403d3013410f80c2e2 | 50/71 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 7a262d4cbbc4808932b6af42c4041f06 | 50/67 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | b1254b99d30873de20ea99fbca371ac3 | 49/71 | otx | ✓ VT | trojan.vmprotect/misc | VTMB |
| MD5 | adf675ffc1acb357f2d9f1a94e016f52 | 47/65 | otx | ✓ VT | trojan.casdet/r002c0… | VTMB |
| MD5 | 7f11809925adc6657e84165fdf780816 | 47/65 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 1cc9ae55b1856e4e9796c73f94c2e683 | 47/65 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 3b46a729db7ae6af8b19711c9452194d | 46/65 | otx | ✓ VT | ransomware.gentlemen… | VTMB |
| MD5 | 6ae7c9a7ea0b8c40a64225734f6bd01d | 45/64 | otx | ✓ VT | ransomware.gentlemen… | VTMB |





