SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

17 jun 2026

Segu-Info » , , » FortiBleed: ~70,000+ Firewall Fortinet comprometidos en una explotación masiva

FortiBleed: ~70,000+ Firewall Fortinet comprometidos en una explotación masiva

17 jun 2026, 3:22:00 p.m.   Comenta primero!
  , ,  

Una exhaustiva campaña de ciberespionaje, ahora denominada FortiBleed, ha comprometido silenciosamente más de 73.932 URL únicas de firewalls Fortinet en 194 países.

Descubierta originalmente por el investigador de seguridad Volodymyr "Bob" Diachenko y analizada posteriormente por Hudson Rock, esta información revela una operación altamente automatizada a escala industrial dirigida a dispositivos FortiGate y gateways VPN SSL a nivel mundial, sin precedentes.

Los ciberdelincuentes ejecutaron aproximadamente 1.160 millones de intentos de robo de credenciales contra más de 320.000 objetivos FortiGate, al tiempo que lanzaron otros 2.100 millones de intentos de fuerza bruta contra más de 160.000 servidores MSSQL, lo que resultó en 21.632 dominios comprometidos.

Según el experto en ciberseguridad Kevin Beaumont, este conjunto de datos expone una operación masiva y automatizada. Los actores de amenazas atacaron con éxito 73.932 URL de firewall únicas en 194 países, lo que resultó en 21.632 dominios únicos afectados. Sorprendentemente, como destacó Beaumont, esto representa aproximadamente el 50% de todos los dispositivos firewall de Fortinet que actualmente se encuentran en Internet.

Esta campaña se atribuye a un grupo ciberdelincuente ruso-hablante con múltiples operadores, cuya metodología va mucho más allá del simple robo de credenciales. El grupo rastreó sistemáticamente internet en busca de instancias Fortinet expuestas, probándolas con vastos repositorios de filtraciones históricas de credenciales obtenidas mediante malware de robo de información.

Una vez que se establece un punto de acceso inicial, los atacantes se dirigen directamente a entornos internos de Active Directory, lo que permite un acceso profundo y persistente a la red que sobrevive a las comprobaciones de seguridad rutinarias.

Uno de los vectores técnicos más alarmantes de la campaña es la interceptación activa de hashes de autenticación SSL VPN, que posteriormente se descifran sin conexión mediante un clúster dedicado de 45 GPU gestionado a través de Hashtopolis.

Esto significa que incluso las organizaciones que creen que sus credenciales cifradas son seguras están expuestas. Una vez que se vulnera el perímetro, los operadores monitorean el tráfico para obtener accesos adicionales, creando un ciclo de retroalimentación positiva de acceso no autorizado.

El alcance de las víctimas confirmadas abarca prácticamente todos los sectores de la economía global. La investigación de Diachenko confirmó la vulneración total de las redes de organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía, incluyendo, de manera crucial, a un contratista de defensa turco de la OTAN del cual se extrajeron con éxito documentos de defensa clasificados.

La base de datos de credenciales verificadas de los atacantes incluye algunas de las empresas más grandes del planeta:

  • Tecnología y Manufactura: Foxconn, Samsung, Siemens, Lenovo, Oracle
  • Servicios Profesionales: PwC, Accenture
  • Telecomunicaciones: Comcast
  • y miles de entidades gubernamentales y proveedores de infraestructura crítica.

Quizás la conclusión más preocupante de este conjunto de datos es que la complejidad de las contraseñas no ofrecía ninguna protección. Un volumen significativo de contraseñas de 20 caracteres, altamente complejas, se vieron comprometidas no mediante su descifrado desde cero, sino porque ya existían en texto plano en bases de datos de ladrones de información previamente robadas.

Cuando las credenciales se roban en el punto final antes de que se aplique el cifrado, ninguna complejidad las protege. Esto socava fundamentalmente la política de "contraseñas seguras" como estrategia de defensa perimetral.

<

Hudson Rock lanzó un portal en línea especializado, diseñado específicamente para que las organizaciones verifiquen fácilmente si sus dominios están incluidos en la base de datos.

Medidas de mitigación

Las organizaciones que utilizan dispositivos Fortinet deben tratar esto como una amenaza crítica y activa, y actuar de inmediato:

  • Rotación obligatoria de credenciales: Restablecer sin demora todas las contraseñas de la VPN y la interfaz de administración de Fortinet; la complejidad es irrelevante si las credenciales ya se han filtrado.
  • Implementar la autenticación multifactor universal: Aplicar la autenticación multifactor en todas las puertas de enlace externas para neutralizar las credenciales robadas en texto plano.
  • Registros de auditoría de la puerta de enlace: Revise los registros de acceso de Fortinet para detectar ubicaciones de inicio de sesión anómalas, sesiones de administrador inesperadas o volúmenes de tráfico inusuales.
  • Restricción de la exposición de la interfaz de administración: Aplique políticas de acceso local para restringir el acceso al panel de administración únicamente a direcciones IP internas de confianza y desactive el inicio de sesión único (SSO) de FortiCloud si no es esencial.

La campaña FortiBleed nos recuerda que la seguridad del perímetro depende de las credenciales que lo protegen, y en un mundo saturado de datos robados por ciberdelincuentes, el perímetro nunca ha sido tan frágil.

Fuente: CyberSecurityNews



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!