Un grupo de investigadores de ciberseguridad ha descubierto y publicado una base de datos con credenciales verificadas de 73.932 firewalls Fortinet/FortiGate en 194 países, incluyendo accesos de administrador y VPN que siguen siendo válidos a fecha de publicación. El hallazgo lo denominó FortiBleed el investigador Bob Diachenko, y la firma Hudson Rock analizó el dataset completo confirmando que más de 30.791 de las credenciales son funcionales en este momento. La investigación independiente de Kevin Beaumont determinó que el conjunto afecta a aproximadamente el 50% de todos los firewalls Fortinet accesibles por internet según los índices de Shodan. Lo reporta TheNextWeb el 17 de junio. Entre las organizaciones presentes en el dataset, según Hudson Rock: Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, PwC, Accenture, Oracle y agencias gubernamentales de varios países.
Cómo funciona FortiBleed y por qué no hay zero-day
Lo más llamativo de FortiBleed es lo que no hay: ninguna nueva vulnerabilidad zero-day. SOCRadar, que analizó el dataset de forma independiente, confirmó que no encontró evidencias de que se explotara ningún fallo desconocido en Fortinet para obtener las credenciales. Lo que hay es, en palabras de Waseem Ahmed, jefe de ingeniería de Secure.com, «un fallo de higiene de credenciales a escala civilizacional.»
Los atacantes usaron dos fuentes de credenciales. La primera: bases de datos de credenciales de Fortinet filtradas en incidentes previos (el dump de 2021 con casi 500.000 cuentas FortiGate VPN y la filtración del Belsen Group en enero de 2025 con 15.000 configuraciones de dispositivos). Muchas organizaciones nunca rotaron esas contraseñas. La segunda fuente: credenciales capturadas por malware tipo infostealer instalado en los endpoints de los usuarios, que captura contraseñas en texto claro antes de que se aplique ningún cifrado. La complejidad de la contraseña es irrelevante contra un infostealer.
Con esas dos listas, el grupo —con infraestructura que apunta a actores rusohablantes según Diachenko— ejecutó aproximadamente 1.160 millones de intentos de credenciales contra 320.777 objetivos FortiGate. En paralelo, la misma infraestructura ejecutó 2.100 millones de intentos de fuerza bruta contra sistemas Microsoft SQL Server, lo que confirma que FortiBleed no es una operación específica contra Fortinet sino una campaña de acceso inicial broad-spectrum.
La ola de brechas que afectó a grandes marcas europeas en 2026 sigue el mismo patrón de explotación de credenciales previamente comprometidas. La diferencia con FortiBleed es la escala: donde Rituals afectó a una empresa, aquí el impacto es sobre decenas de miles de organizaciones simultáneamente.
El aspecto técnico que multiplica el impacto
Hay un detalle técnico que explica por qué tantos dispositivos son vulnerables incluso después de actualizaciones de FortiOS. Fortinet introdujo en las versiones 7.2.11, 7.4.8 y 7.6.1 un sistema de hashing de contraseñas más robusto (PBKDF2) para reemplazar el antiguo SHA-256. Pero cuando un dispositivo se actualiza desde una versión anterior, las contraseñas existentes de los administradores permanecen almacenadas en SHA-256 hasta que ese administrador haga login tras la actualización. Si nadie inicia sesión, el hash débil permanece indefinidamente. Los atacantes extrajeron archivos de configuración de los dispositivos y rompieron los hashes SHA-256 usando clústeres de 45 GPUs (infraestructura Hashtopolis), obteniendo las contraseñas en texto claro.
Los ataques con herramientas de IA que automatizaron el compromiso de agencias gubernamentales en México en 2026 ilustran cómo la IA reduce la barrera de entrada para ataques sofisticados. FortiBleed no usa IA directamente, pero sí automatización masiva y pipelines de compromiso industrializados que comparten la misma filosofía.
La lista de afectados incluye un endpoint VPN de la industria de defensa, lo que sugiere que las ambiciones del grupo van más allá de lo puramente económico y podrían incluir espionaje industrial o gubernamental. Los ataques DDoS contra el Parlamento Europeo de 2022 mostraron que la infraestructura pública también es objetivo prioritario; FortiBleed apunta a la capa de acceso que hace posible ese tipo de intrusión sostenida.
Mi valoración
Lo que más me convence de este análisis es la clareza de la lección: FortiBleed no necesitó ninguna vulnerabilidad nueva para comprometer el 50% de los firewalls Fortinet con acceso a internet. Solo necesitó que las organizaciones no rotaran sus contraseñas después de brechas previas conocidas.
Lo que más me preocupa es la segunda capa de la campaña: los atacantes no solo roban credenciales, también usan el acceso al firewall para monitorizar el tráfico que pasa por él y capturar más credenciales en tiempo real. Una vez dentro, se convierten en un punto de escucha permanente.
Lo más estructuralmente significativo es la organización del dataset: está estructurado por sector, ingresos y tamaño de empresa. Eso no es una filtración aleatoria; es un inventario comercial preparado para vender acceso inicial a compradores que quieren filtrar por tipo de objetivo.
La pregunta a 12 meses no es si habrá más incidentes derivados de FortiBleed sino cuántos, y si Fortinet refuerza suficientemente los requisitos de rotación forzada de credenciales en sus próximas versiones. Mi predicción: veremos al menos un incident de ransomware de alto impacto directamente atribuible a credenciales del dataset FortiBleed antes de finales de 2026.
Preguntas frecuentes
¿Cómo puedo saber si mi organización aparece en el dataset FortiBleed?
Hudson Rock publicó una herramienta gratuita de búsqueda (FortiBleed lookup portal) donde las organizaciones pueden introducir su dominio para verificar si aparece en el dataset. Si aparece, debe asumir que las credenciales están en manos criminales y actuar de inmediato: rotación de todas las contraseñas de admin y VPN, habilitación de MFA, revisión de logs.
¿Hay que actualizar FortiOS para estar protegido?
Actualizar a una versión con PBKDF2 (FortiOS 7.2.11, 7.4.8 o 7.6.1 y superiores) es necesario pero no suficiente. Tras la actualización, cada administrador debe hacer login activamente para que el sistema migre su hash a PBKDF2. Sin ese login, el hash SHA-256 débil permanece almacenado aunque el firmware sea moderno.
¿A quién afecta principalmente el dataset FortiBleed?
El dataset cubre organizaciones de todos los sectores y tamaños en 194 países, con alta concentración en India, Estados Unidos, Taiwán, México, Turquía, Tailandia, Colombia, Malasia, Chile y Emiratos Árabes Unidos. Las organizaciones más grandes e importantes son las más atractivas para los compradores de acceso inicial, pero la escala del dataset significa que organizaciones medianas también están expuestas.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario