Según varias personas familiarizadas con el asunto, el gran incidente del año pasado que paralizó una gran área de la red de comunicaciones nacional de Luxemburgo fue causado por atacantes que explotaron una vulnerabilidad de día cero no revelada previamente en el software del enrutador empresarial de Huawei, lo que provocó que las comunicaciones móviles, las llamadas a teléfonos fijos y los sistemas de contacto de emergencia se interrumpieran en todo el país durante más de tres horas. Esta vulnerabilidad nunca se ha divulgado oficialmente en ningún canal público, ni se le ha asignado un número CVE en la biblioteca de vulnerabilidades aceptada globalmente. Otros operadores de telecomunicaciones que operan equipos similares no han recibido advertencias públicas.
POST Luxemburgo es el operador directamente afectado por el accidente. Es una empresa de telecomunicaciones controlada por el estado de Luxemburgo. Paul Rausch, jefe de comunicaciones de la compañía, dijo que el incidente fue un ataque de denegación de servicio (DoS) a equipos de red que explotaba "el comportamiento no público e indocumentado del sistema". No había parches disponibles en el momento del incidente y "no estaba relacionado con ninguna vulnerabilidad conocida o documentada previamente". Dijo que Huawei le dijo a POST después que nunca antes había encontrado ataques similares en la red de ningún cliente y que no tenía soluciones listas para usar.
Múltiples fuentes que recibieron información confidencial describieron el incidente como un ataque de día cero. Aunque actualmente no hay evidencia de que el mismo ataque haya ocurrido nuevamente, la causa técnica de esta falla aún no se ha explicado públicamente y Huawei nunca ha reconocido positivamente los problemas relacionados. Según el informe, Huawei recibió consultas detalladas de los periodistas antes de la publicación del artículo, pero no proporcionó ninguna respuesta.
El accidente ocurrió cerca del final del día el 23 de julio de 2025. En ese momento, la red de telefonía fija de POST y las redes móviles 4G y 5G quedaron paralizadas simultáneamente, lo que potencialmente dejó a cientos de miles de residentes sin poder realizar llamadas de emergencia mientras duró el incidente. Las investigaciones revelaron que esto fue provocado por un tráfico de red cuidadosamente diseñado que atrapó a los enrutadores empresariales de Huawei en un ciclo de reinicio continuo, lo que provocó que nodos clave en la red central POST fallaran repetidamente, lo que provocó cortes de comunicaciones en todo el país. La red se restableció gradualmente más de tres horas después del incidente y el centro de llamadas de emergencia del país recibió cientos de nuevas llamadas en un corto período de tiempo.
En el momento del incidente, el gobierno de Luxemburgo lo describió como "un ciberataque inusualmente avanzado y sofisticado". POST afirmó que esta declaración se refiere principalmente a las capacidades técnicas necesarias para explotar la vulnerabilidad y no es un ataque DDoS a gran escala que abruma el sistema con picos de tráfico en el sentido tradicional. Inicialmente, el gobierno caracterizó el incidente como un ataque distribuido de denegación de servicio (DDoS), pero desde entonces POST ha aclarado que no se trataba de la misma técnica de ataque de tráfico masivo comúnmente utilizada por hacktivistas o ciberdelincuentes.
Un portavoz del fiscal de Luxemburgo dijo que una investigación realizada por la policía y expertos en ciberseguridad encontró que se transfirieron "datos manipulados" a través de POST, un proveedor de servicios de Internet, y que estos datos "pueden usarse para lanzar ataques contra cualquier servidor objetivo". Pero en este incidente, los datos no se reenviaron normalmente, sino que provocaron un comportamiento anormal del sistema POST, lo que provocó que dejara de funcionar y se reiniciara. Un portavoz del Alto Comisionado para la Protección Nacional de Luxemburgo dijo que la investigación final no encontró "ninguna evidencia de que el ataque fuera lanzado deliberadamente con POST Luxemburgo como objetivo específico". No se han presentado cargos penales.
Los resultados de la investigación anterior indican que la fuente de la parálisis a nivel nacional puede ser que el tráfico de red construido maliciosamente "pasó" la infraestructura POST al pasar por Internet. Sin embargo, en lugar de simplemente reenviar datos como los equipos convencionales, el enrutador Huawei desencadenó un estado de falla no revelado que provocó que el equipo dejara de funcionar y se reiniciara repetidamente, amplificándolo hasta convertirse en un incidente a nivel nacional. El informe señaló que el sistema operativo de red VRP de desarrollo propio de Huawei ha experimentado vulnerabilidades de denegación de servicio relacionadas con el tráfico de protocolos cuidadosamente construidos en el pasado, como CVE-2021-22359 y CVE-2022-29798. Han aparecido fallos similares en los productos de otros grandes fabricantes de equipos de red: el tráfico con formato incorrecto puede provocar fallos en los equipos, recargas repetidas e incluso intrusiones remotas en el manejo de las comunicaciones diarias. Sin embargo, POST enfatizó que el incidente de Luxemburgo no está relacionado con las vulnerabilidades de Huawei que se han revelado públicamente antes.
El informe también se centró en una cuestión más amplia de “brecha de divulgación”. En los últimos años, Huawei todavía ha presentado números CVE para algunos productos de consumo, pero la información pública sobre la vulnerabilidad de su software de red de nivel empresarial se ha vuelto cada vez más escasa. La mayoría de los casos públicos existentes son divulgados por investigadores de seguridad independientes en lugar de ser publicados proactivamente por los fabricantes. La compañía todavía está emitiendo avisos de seguridad empresarial a los clientes, pero estos avisos solo están disponibles a través de un portal de clientes restringido y no como un aviso público para toda la industria. Por ejemplo, Huawei emitió un aviso de seguridad sobre una vulnerabilidad de denegación de servicio que implicaba el análisis de paquetes a través del portal el mes pasado sin un número CVE. Actualmente no hay pruebas de que este anuncio esté relacionado con el incidente de Luxemburgo.
Tras el ataque, Luxemburgo mantuvo una serie de reuniones técnicas con Huawei para averiguar la causa del incidente. Las autoridades de ciberseguridad de Luxemburgo también comunican situaciones relevantes a los equipos cooperativos de respuesta a emergencias en toda Europa a través de los canales de cooperación gubernamentales existentes. Sin embargo, hasta el día de hoy, no se ha presentado oficialmente ningún CVE para esta vulnerabilidad crítica de día cero y, por lo tanto, la comunidad global de ciberseguridad no ha recibido una advertencia pública completa.
En cuanto a la cuestión de quién debería ser responsable de enviar los números CVE, un portavoz del Alto Comisionado Nacional de Protección de Luxemburgo dijo que, según el proceso de divulgación común, la decisión recae en el fabricante. POST dijo que la compañía ha proporcionado información técnica a las partes relevantes, pero no tiene derecho a decidir cómo revelarla al mundo exterior. El informe señaló que Huawei no respondió a las preguntas sobre por qué no publicó públicamente un CVE por la vulnerabilidad que interrumpió las comunicaciones en todo el país. Diez meses después del incidente, el mundo exterior todavía no sabe si la vulnerabilidad se ha solucionado por completo, cuántos operadores en todo el mundo han estado o siguen expuestos al riesgo y si los equipos de red que actualmente ejecutan sistemas similares de Huawei todavía tienen peligros ocultos.