La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) instó el jueves a los clientes de Fortinet con dispositivos FortiGate a tomar medidas para protegerse contra una actividad maliciosa en curso que afecta a miles de dispositivos accesibles desde internet. La campaña, atribuida a actores de amenazas de habla rusa, ha sido denominada FortiBleed. El número de dispositivos comprometidos asciende a 86,644 al 19 de junio de 2026.
Según datos de SOCRadar, las cuentas de administrador genéricas (35 %) y las cuentas integradas del sistema Fortinet (28,3 %) representan la mayoría de las credenciales comprometidas. Las cuentas específicas de la organización constituyen el 36,7 % restante. 'Esto apunta directamente a un fallo generalizado en renombrar cuentas predeterminadas o rotar credenciales de fábrica, lo que proporciona al atacante una lista de objetivos muy fiable antes de que se necesitara cualquier fuerza bruta', señaló SOCRadar. 'Que las cuentas específicas de la organización encabecen la lista es significativo. Significa que el atacante no solo está cosechando credenciales predeterminadas, sino que también ha comprometido con éxito cuentas creadas por las propias organizaciones, posiblemente obtenidas de brechas anteriores donde las contraseñas nunca se cambiaron'.
Los sectores de telecomunicaciones, gobierno y educación son los tres más afectados, con la mayor exposición en India, EE. UU., México, Colombia y Tailandia. Se cree que el actor de amenazas realizó un escaneo masivo de internet en busca de endpoints de inicio de sesión remoto de Fortinet y luego empleó una herramienta personalizada para rociar esos endpoints con combinaciones conocidas de usuario y contraseña. El ataque totalmente automatizado sigue un enfoque de dos pasos: primero, el atacante prueba una lista curada de contraseñas de Fortinet filtradas contra dispositivos en internet. Una vez obtenido el acceso, monitorean pasivamente el tráfico de red que pasa por los dispositivos para recopilar credenciales adicionales, que luego se usan para comprometer más equipos. Las credenciales son legítimas y válidas, y los atacantes verifican cada una antes de agregarlas a una base de datos de inicios de sesión confirmados.
Hudson Rock comentó: 'La escala de esta brecha toca casi todos los sectores de la economía global, sin perdonar a ninguna industria. Los actores de amenazas han construido una base de datos verificada de credenciales funcionales para algunas de las empresas más grandes del planeta'. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha descrito FortiBleed como una campaña global que ataca firewalls y puertas de enlace VPN de Fortinet expuestos a internet utilizando métodos como fuerza bruta, ataque de diccionario y relleno de credenciales. Se sospecha que los atacantes explotaron mecanismos de hash de credenciales antiguos y la forma en que las credenciales se almacenaban históricamente en los archivos de configuración de FortiGate para llevar a cabo el ataque a gran escala.
Arctic Wolf explicó: 'Fortinet introdujo el hash de contraseñas basado en PBKDF2 para credenciales de administrador en FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo de almacenamiento SHA-256 heredado. Sin embargo, al actualizar desde versiones anteriores, las contraseñas de administrador existentes permanecen almacenadas como hashes SHA-256 hasta que el administrador correspondiente inicie sesión correctamente después de la actualización. Como resultado, muchas organizaciones probablemente continúan almacenando credenciales de administrador utilizando mecanismos antiguos de hash SHA-256 con sal'. En una declaración compartida con The Hacker News, un portavoz de Fortinet dijo que 'los datos involucrados probablemente son un reuso de datos de incidentes anteriores, así como fuerza bruta de credenciales, y no están relacionados con ningún incidente o aviso actual', e instó a las organizaciones a seguir las mejores prácticas, incluida la rotación regular de credenciales de seguridad y la habilitación de la autenticación multifactor (MFA).
CISA ha esbozado las siguientes recomendaciones para defenderse de la actividad: finalizar todas las sesiones activas de SSL VPN y administrativas, restablecer todas las contraseñas de VPN y administración de Fortinet (especialmente en sistemas expuestos a internet), y aplicar políticas de contraseñas sólidas; asegurar el uso del algoritmo PBKDF2 para almacenar credenciales de administrador y eliminar los hashes heredados más débiles; revisar los registros de firewall, VPN, autenticación y controlador de dominio en busca de signos de acciones sospechosas (incluidos cambios de configuración no autorizados); habilitar MFA resistente a phishing en todas las pasarelas externas e interfaces administrativas; y reducir la superficie de ataque y bloquear la administración.
El incidente FortiBleed salió a la luz la semana pasada después de que el investigador de seguridad Volodymyr 'Bob' Diachenko descubriera un servidor que contenía la base de datos de credenciales de inicio de sesión funcionales para miles de firewalls y puertas de enlace VPN en 194 países. Según SOCRadar, el servidor también albergaba las herramientas y scripts de automatización de los atacantes. Los hallazgos demuestran una vez más cómo la reutilización de credenciales y la mala higiene de contraseñas pueden ser aprovechadas por actores maliciosos, sin mencionar que los dispositivos de seguridad perimetral siguen siendo un objetivo lucrativo para obtener acceso inicial a entornos empresariales.
Actualización
En una publicación compartida el 19 de junio de 2026, Fortinet indicó que la campaña FortiBleed probablemente implica la reutilización de credenciales de incidentes anteriores (como CVE-2026-24858, CVE-2025-59718 y CVE-2025-59719), junto con técnicas de fuerza bruta contra dispositivos con mala higiene de contraseñas y sin MFA. Para defenderse, la empresa ha recomendado: finalizar todas las sesiones de administración y VPN y restablecer credenciales; implementar MFA; actualizar a las últimas versiones de 7.4, 7.6 o 8.0; revisar los usuarios de firewall y VPN y otras configuraciones en busca de cambios no autorizados; auditar registros para detectar acceso de administrador inesperado desde una dirección IP desconocida, movimiento lateral, acceso inusual, cuentas sospechosas o cambios de configuración no autorizados; y restringir la administración externa mediante hosts de confianza (bueno), una política local-in (mejor) o eliminar la administración por internet (lo mejor). Carl Windsor, CISO de Fortinet, añadió: 'Si la integración con AD/LDAP está configurada, es importante tratar esta cuenta como comprometida y monitorear su uso para autenticación en otros lugares o la creación de cuentas adicionales, y monitorear la red en busca de movimiento lateral'.
