SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

Jun 17, 2026

Segu-Info » , , » FortiBleed: ~70,000+ Firewall Fortinet comprometidos en una explotación masiva

FortiBleed: ~70,000+ Firewall Fortinet comprometidos en una explotación masiva

Jun 17, 2026, 3:22:00 PM   Comenta primero!
  , ,  

Una exhaustiva campaña de ciberespionaje, ahora denominada FortiBleed, ha comprometido silenciosamente más de 73.932 URL únicas de firewalls Fortinet en 194 países. Las vulnerabilidades explotadas (ver abajo) ya se encuentra solucionadas pero los administradores deben aplicar los parches.

"La base de datos del atacante contiene credenciales de acceso para más de 30.791 dispositivos pertenecientes a empresas y organizaciones gubernamentales de 194 países", declaró SOCRadar. "No se trata de conjeturas aleatorias. Son nombres de usuario y contraseñas verificados y funcionales, probados y confirmados por los propios atacantes mediante herramientas automatizadas que operan las 24 horas del día".

Descubierta originalmente por el investigador de seguridad Volodymyr "Bob" Diachenko y analizada posteriormente por Hudson Rock, esta información revela una operación altamente automatizada a escala industrial dirigida a dispositivos FortiGate y gateways VPN SSL a nivel mundial, sin precedentes.

Los ciberdelincuentes ejecutaron aproximadamente 1.160 millones de intentos de robo de credenciales contra más de 320.000 objetivos FortiGate, al tiempo que lanzaron otros 2.100 millones de intentos de fuerza bruta contra más de 160.000 servidores MSSQL, lo que resultó en 21.632 dominios comprometidos.

Fortinet declaró que la recopilación de credenciales se obtuvo a través de incidentes anteriores y ataques de fuerza bruta, y que no implica ninguna nueva falla o brecha de seguridad nueva.

Según el experto en ciberseguridad Kevin Beaumont, este conjunto de datos expone una operación masiva y automatizada. Los actores de amenazas atacaron con éxito 73.932 URL de firewall únicas en 194 países, lo que resultó en 21.632 dominios únicos afectados. Sorprendentemente, como destacó Beaumont, esto representa aproximadamente el 50% de todos los dispositivos firewall de Fortinet que actualmente se encuentran en Internet.

Esta campaña se atribuye a un grupo ciberdelincuente ruso-hablante con múltiples operadores, cuya metodología va mucho más allá del simple robo de credenciales. El grupo rastreó sistemáticamente internet en busca de instancias Fortinet expuestas, probándolas con vastos repositorios de filtraciones históricas de credenciales obtenidas mediante malware de robo de información.

Una vez que se establece un punto de acceso inicial, los atacantes se dirigen directamente a entornos internos de Active Directory, lo que permite un acceso profundo y persistente a la red que sobrevive a las comprobaciones de seguridad rutinarias.

Uno de los vectores técnicos más alarmantes de la campaña es la interceptación activa de hashes de autenticación SSL VPN, que posteriormente se descifran sin conexión mediante un clúster dedicado de 45 GPU gestionado a través de Hashtopolis.

Esto significa que incluso las organizaciones que creen que sus credenciales cifradas son seguras están expuestas. Una vez que se vulnera el perímetro, los operadores monitorean el tráfico para obtener accesos adicionales, creando un ciclo de retroalimentación positiva de acceso no autorizado.

El alcance de las víctimas confirmadas abarca prácticamente todos los sectores de la economía global. La investigación de Diachenko confirmó la vulneración total de las redes de organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía, incluyendo, de manera crucial, a un contratista de defensa turco de la OTAN del cual se extrajeron con éxito documentos de defensa clasificados.

La base de datos de credenciales verificadas de los atacantes incluye algunas de las empresas más grandes del planeta:

  • Tecnología y Manufactura: Foxconn, Samsung, Siemens, Lenovo, Oracle
  • Servicios Profesionales: PwC, Accenture
  • Telecomunicaciones: Comcast
  • y miles de entidades gubernamentales y proveedores de infraestructura crítica.

Quizás la conclusión más preocupante de este conjunto de datos es que la complejidad de las contraseñas no ofrecía ninguna protección. Un volumen significativo de contraseñas de 20 caracteres, altamente complejas, se vieron comprometidas no mediante su descifrado desde cero, sino porque ya existían en texto plano en bases de datos de ladrones de información previamente robadas.

Cuando las credenciales se roban en el punto final antes de que se aplique el cifrado, ninguna complejidad las protege. Esto socava fundamentalmente la política de "contraseñas seguras" como estrategia de defensa perimetral.

Las tácticas del grupo van más allá de la obtención y reutilización de credenciales. Se estima que los atacantes interceptan la autenticación SSL-VPN, descifran hashes en un clúster de 45 GPU administrado mediante Hashtopolis y acceden a entornos internos de Active Directory para su posterior explotación y persistencia. 

Hudson Rock lanzó un portal en línea especializado y SOCRadar otro diseñados específicamente para que las organizaciones verifiquen fácilmente si sus dominios están incluidos en la base de datos.

Medidas de mitigación

Las organizaciones que utilizan dispositivos Fortinet deben tratar esto como una amenaza crítica y activa, y actuar de inmediato:

  • Rotación obligatoria de credenciales: Restablecer sin demora todas las contraseñas de la VPN y la interfaz de administración de Fortinet; la complejidad es irrelevante si las credenciales ya se han filtrado.
  • Implementar la autenticación multifactor universal: Aplicar la autenticación multifactor en todas las puertas de enlace externas para neutralizar las credenciales robadas en texto plano.
  • Registros de auditoría de la puerta de enlace: Revise los registros de acceso de Fortinet para detectar ubicaciones de inicio de sesión anómalas, sesiones de administrador inesperadas o volúmenes de tráfico inusuales.
  • Restricción de la exposición de la interfaz de administración: Aplique políticas de acceso local para restringir el acceso al panel de administración únicamente a direcciones IP internas de confianza y desactive el inicio de sesión único (SSO) de FortiCloud si no es esencial.

La campaña FortiBleed nos recuerda que la seguridad del perímetro depende de las credenciales que lo protegen, y en un mundo saturado de datos robados por ciberdelincuentes, el perímetro nunca ha sido tan frágil.

Actualización 18/06

Sólo en Argentina aparecen al menos 50 empresas y sitios gubernamentales afectados y ya hay evidencia de infección de ransomware debido a la explotación de esta vulnerabilidad.

Vulnerabilidades explotadas

En su publicación, Defused Cyber informó haber detectado la explotación de las vulnerabilidades CVE-2026-39813, CVE-2026-39808, y CVE-2026-25089 en las últimas 24 horas.

CVE-2026-39813 (CVSS: 9.1) se refiere a una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no autenticado eludir la autenticación mediante solicitudes HTTP especialmente diseñadas.

La segunda vulnerabilidad, CVE-2026-39808 (CVSS: 9.1), es un caso de inyección de comandos del sistema operativo que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados mediante solicitudes HTTP especialmente diseñadas. Fortinet corrigió ambas vulnerabilidades en abril de 2026.

Por otro lado, la vulnerabilidad CVE-2026-25089 (CVSS: 9.1) se solucionó la semana pasada. Fortinet la describió como una inyección de comandos del sistema operativo que afectaba a FortiSandbox, FortiSandbox Cloud y la interfaz web de FortiSandbox PaaS, y que podía permitir a un atacante no autenticado ejecutar comandos no autorizados mediante solicitudes HTTP especialmente diseñadas.

Defused Cyber ​​señaló que el exploit para CVE-2026-25089 no solo muestra indicios de haber sido desarrollado mediante un modelo de inteligencia artificial (IA), sino que además es defectuoso. Aún no se ha divulgado públicamente un exploit funcional para esta vulnerabilidad.

En los últimos años, las vulnerabilidades en los dispositivos Fortinet se han convertido en un objetivo prioritario para los atacantes. En abril de 2026, Fortinet publicó parches fuera de ciclo para una falla de seguridad crítica que afectaba a FortiClient EMS (CVE-2026-35616, CVSS: 9.1) y que, según la compañía, había sido explotada en la práctica.

Fuente: CyberSecurityNews



Suscríbete a nuestro Boletín

0 Comments:

Post a Comment

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!