1. Avisos de Seguridad
  2. Incidente Informático Crítico: Campaña FortiBleed compromete miles de dispositivos Fortinet a nivel mundial
Fecha de publicación: Vie, 19/06/2026 - 10:12

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Los dispositivos Fortinet FortiGate, utilizados como firewalls y gateways VPN en organizaciones de todo el mundo, han sido objeto de una campaña masiva de ciberespionaje denominada FortiBleed. La investigación, realizada por Volodymyr “Bob” Diachenko y analizada por Hudson Rock y Kevin Beaumont, reveló una operación automatizada que afectó a más de 21.632 dominios en 194 países.

Los actores de amenazas identificaron dispositivos FortiGate con interfaces de administración expuestas a internet y obtuvieron archivos de configuración que contenían información sensible. A partir de estos datos, los atacantes pudieron realizar ataques de fuerza bruta fuera de línea contra las credenciales almacenadas en los dispositivos.

La investigación también señala que los atacantes aprovecharon mecanismos de almacenamiento de contraseñas más antiguos presentes en algunos equipos. Aunque Fortinet fortaleció la protección de credenciales mediante PBKDF2 en actualizaciones publicadas durante 2025, muchos dispositivos continuaron utilizando esquemas anteriores debido a que los administradores no realizaron un nuevo inicio de sesión tras la actualización.

Una vez obtenidas credenciales válidas, los atacantes pudieron acceder a los dispositivos afectados y, en algunos casos, comprometer redes internas completas, estableciendo mecanismos de persistencia y accediendo a sistemas corporativos críticos.

Debido al alcance global de la campaña y al elevado número de dispositivos potencialmente afectados, se recomienda a las organizaciones que utilicen soluciones Fortinet revisar inmediatamente sus configuraciones de seguridad, aplicar las actualizaciones correspondientes y verificar posibles indicadores de compromiso.

La lista de verificación se encuentra disponible en el siguiente enlace:

Recursos afectados

  • Dispositivos Fortinet FortiGate (firewalls y gateways VPN), especialmente aquellos con la interfaz de administración expuesta a internet.
  • Equipos que no aplicaron las actualizaciones de firmware publicadas a principios de 2025 o cuyos administradores no volvieron a iniciar sesión para activar el proceso de rehashing de contraseñas mediante PBKDF2.
  • Más de 21.632 dominios resultaron afectados en 194 países, siendo India, Estados Unidos, Taiwán, México y Turquía algunos de los países con mayor impacto.

Solución/Mitigación

Para mitigar la campaña FortiBleed y proteger su red contra este vector específico, recomendamos encarecidamente las siguientes acciones inmediatas:

  • Se debe eliminar la exposición a Internet: asegúrese inmediatamente de que la Interfaz de Gestión de FortiOS no esté expuesta a internet público a menos que sea absolutamente necesario.
  • Forzar rotación de credenciales y actualización de hashing: Actualice a la última versión de FortiOS y haga que todos los administradores inicien sesión nuevamente para forzar al sistema a volver a hashear las contraseñas usando el estándar PBKDF2 más seguro.
  • Asumir compromiso y buscar backdoors: Si observa inicios de sesión exitosos sospechosos en cuentas de admin, asuma que el dispositivo está comprometido. Los atacantes pueden haber alterado los controles de seguridad o creado usuarios backdoor. En casos severos, puede ser necesario reemplazar el dispositivo por completo.
  • MFA estricto: Asegúrese de que la Autenticación de Dos Factores se aplique universalmente a todas las gateways externas e interfaces de admin, neutralizando efectivamente la amenaza de contraseñas de texto plano robadas.

Recomendación

Se recomienda a todas las instituciones revisar la lista de dominios y dispositivos potencialmente afectados publicada por los investigadores. No aparecer en dicha lista no garantiza que la organización no haya sido comprometida, por lo que se aconseja realizar una revisión preventiva de los dispositivos Fortinet expuestos a internet.

Las organizaciones que utilicen tecnología Fortinet deben proceder a la rotación inmediata de contraseñas administrativas, verificar que se hayan aplicado las actualizaciones de firmware más recientes y actualizar sus contraseñas. Asimismo, se recomienda revisar registros de autenticación, para identificar accesos sospechosos, asi como verificar la existencia de cuentas no autorizadas.

En caso de detectarse actividad anómala o indicios de compromiso, se debe asumir una posible intrusión, aislar los sistemas afectados y ejecutar los procedimientos internos de respuesta a incidentes correspondientes.

Referencias