La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente a los clientes de Fortinet, debido a la campaña de ciberataques conocida como “FortiBleed”. Esta amenaza, atribuida a actores de habla rusa, ha comprometido 86,644 dispositivos FortiGate expuestos a Internet. Colombia figura entre los países más afectados, destacando la magnitud global del incidente.
El ataque se centra en la explotación de credenciales débiles o comprometidas. SOCRadar informa que las cuentas de administrador genéricas (35%) y las cuentas de sistema integradas de Fortinet (28.3%) constituyen la mayoría de las credenciales filtradas. Esto subraya una falla generalizada en la gestión de contraseñas predeterminadas y la falta de rotación. Los atacantes utilizan un escaneo masivo de endpoints de inicio de sesión remoto de Fortinet, seguido de una herramienta personalizada para intentar combinaciones de nombres de usuario y contraseñas conocidas, en un proceso automatizado de dos pasos.
Una vez obtenido el acceso, los atacantes monitorean pasivamente el tráfico de red de los dispositivos para recolectar credenciales adicionales, expandiendo así su capacidad de compromiso. Se sospecha que este ataque masivo se facilita por la explotación de mecanismos de hash de credenciales más antiguos (SHA-256) que persistían en las configuraciones de FortiGate después de las actualizaciones, incluso cuando Fortinet ya había introducido PBKDF2 (Password-Based Key Derivation Function 2, un algoritmo de derivación de claves basado en contraseña) en FortiOS 7.2.11 y versiones posteriores. Fortinet ha declarado que esta campaña probablemente reutiliza datos de incidentes previos, como CVE-2026-24858 y CVE-2025-59718, junto con técnicas de fuerza bruta contra sistemas sin autenticación multifactor (MFA).
Para mitigar la exposición, CISA y Fortinet han emitido recomendaciones críticas. Es fundamental finalizar todas las sesiones activas de SSL VPN y administrativas, y restablecer todas las contraseñas de Fortinet, especialmente en sistemas expuestos a Internet. Se debe asegurar el uso del algoritmo PBKDF2 para el almacenamiento de credenciales administrativas y eliminar los hashes legacy más débiles. También se aconseja revisar los registros de firewall, VPN, autenticación y controladores de dominio en busca de actividad sospechosa, implementar MFA resistente al phishing en todas las interfaces externas y administrativas, y restringir la gestión externa. Adicionalmente, Fortinet recomienda actualizar a las últimas versiones de FortiOS: 7.4, 7.6 o 8.0.
Qué significa para tu empresa: Este incidente subraya la necesidad crítica de una postura de seguridad proactiva y robusta. La fortaleza de su infraestructura de ciberseguridad depende directamente de la correcta configuración y gestión de sus dispositivos perimetrales. Una estrategia efectiva de Identidad y MFA es indispensable para proteger los accesos críticos a la infraestructura, evitando la explotación de credenciales débiles o comprometidas.
Fuente original: The Hacker News — ver artículo →