La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha emitido una alerta crítica a los clientes de Fortinet, instando a asegurar sus dispositivos FortiGate tras una campaña maliciosa masiva, denominada ‘FortiBleed’. Se cree que actores de amenazas de habla rusa están detrás de este ataque, que ha comprometido 86,644 dispositivos FortiGate expuestos a internet hasta el 19 de junio de 2026. Esta campaña afecta a sectores clave como telecomunicaciones, gobierno y educación, con una notable presencia de exposiciones en países como India, EE. UU., México y Colombia.
El ataque automatizado ‘FortiBleed’ implica el escaneo masivo de internet para identificar puntos de acceso remoto de Fortinet, seguido del uso de una herramienta personalizada para probar combinaciones de nombres de usuario y contraseñas conocidas o filtradas. Los credenciales comprometidos incluyen cuentas de administrador genéricas (35%), cuentas de sistema Fortinet predeterminadas (28.3%) y cuentas específicas de organizaciones (36.7%), lo que subraya la falta de rotación de credenciales y el uso de contraseñas débiles. Una vez que se obtiene acceso, los atacantes monitorean pasivamente el tráfico de red para recolectar credenciales adicionales, expandiendo así su alcance.
Se sospecha que los actores de amenazas explotaron mecanismos de hash de credenciales más antiguos y la forma en que las contraseñas se almacenaban históricamente en los archivos de configuración de FortiGate. Fortinet introdujo el hashing de contraseñas basado en PBKDF2 en FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo SHA-256. Sin embargo, las contraseñas existentes permanecen en SHA-256 hasta que el administrador inicia sesión después de la actualización, dejando a muchas organizaciones vulnerables. Fortinet ha declarado que la campaña probablemente implica la reutilización de credenciales de incidentes previos, como CVE-2026-24858, CVE-2025-59718 y CVE-2025-59719, junto con técnicas de fuerza bruta.
Para mitigar el riesgo, CISA y Fortinet recomiendan acciones inmediatas. Estas incluyen terminar todas las sesiones activas de SSL VPN y administración, restablecer todas las contraseñas de VPN y administrativas (especialmente en sistemas expuestos a internet), y aplicar políticas de contraseñas robustas. Es crucial implementar el algoritmo PBKDF2 para el almacenamiento de credenciales de administrador, eliminando los hashes heredados más débiles. También se aconseja revisar los logs de firewall, VPN y autenticación en busca de actividades sospechosas, habilitar MFA resistente al phishing en todas las interfaces administrativas y actualizar a las últimas versiones de FortiOS (7.4, 7.6 u 8.0). Restringir la gestión externa mediante ‘trusted hosts’ o políticas locales es una práctica recomendada.
Qué significa para tu empresa: Este incidente subraya la importancia crítica de una sólida identidad y MFA como primera línea de defensa. La campaña ‘FortiBleed’ explota directamente la falta de higiene de contraseñas y la ausencia de autenticación multifactor en dispositivos perimetrales clave. La implementación rigurosa de MFA, especialmente en sistemas expuestos a internet, es un paso fundamental para proteger su infraestructura contra la reutilización de credenciales y los ataques de fuerza bruta, fortaleciendo la postura general de su seguridad gestionada por capas.
Fuente original: The Hacker News — ver artículo →