A mediados de junio de 2026, el investigador de seguridad Volodymyr Diachenko descubrio un servidor operacional que contenia lo que parecia ser una base de datos completa de credenciales validas de firewalls Fortinet FortiGate. El hallazgo, que SOCRadar bautizo como FortiBleed, no era una lista de contrasenas robadas al azar: era la infraestructura activa de un grupo de habla rusa que habia ejecutado 1.160 millones de intentos de autenticacion contra mas de 320.000 dispositivos Fortinet a lo largo de semanas, verificando cada credencial correcta con herramientas automatizadas. El resultado: 86.644 credenciales verificadas, con nombre de usuario, correo electronico y contrasena en texto plano, de firewalls y VPN gateways en 194 paises. La CISA emitio una alerta urgente el 19 de junio con instrucciones de accion inmediata. Fortinet es el firewall de perimetro mas instalado en pymes y medianas empresas espanolas. La causa de FortiBleed no es un zero-day ni una vulnerabilidad de codigo: son contrasenas que nunca se rotaron despues de brechas previas, cuentas de administrador con el nombre por defecto, y un mecanismo de cifrado obsoleto que hace las credenciales crackeables con un cluster de GPUs.

¿Que es FortiBleed y que sabemos del alcance real de la campana?

Los hechos documentados por SOCRadar, BleepingComputer, SecurityWeek, CISA, Arctic Wolf, Hudson Rock y el investigador Kevin Beaumont son los siguientes:

  • Alcance: 86.644 credenciales verificadas de dispositivos FortiGate en 194 paises. Investigaciones independientes de BleepingComputer y Kevin Beaumont confirman que las credenciales son reales y actuales. Beaumont, que verifico credenciales de forma directa con organizaciones afectadas, senalo: "Los datos son legitimos. Son alrededor de 75.000 dispositivos. Casi todos siguen online y son dispositivos Fortinet."
  • Escala de la operacion: el grupo ejecuto aproximadamente 1.160 millones de intentos de credencial contra mas de 320.000 dispositivos FortiGate, y de forma paralela 2.100 millones de intentos de fuerza bruta contra mas de 160.000 servidores Microsoft SQL Server. La operacion utilizo un cluster de 45 GPUs gestionado con Hashtopolis para crackear los hashes SHA-256 de contrasenas.
  • Metodologia del ataque: el grupo combino tres vectores. Escaneo sistematico de internet para identificar FortiGate accesibles. Exfiltracion de ficheros de configuracion de dispositivos (la fuente exacta no ha sido identificada publicamente). Crackeo offline de los hashes de contrasena mediante GPU y posterior verificacion automatizada de cada credencial. Los dispositivos comprometidos se usan como puntos de escucha para interceptar trafico SSL VPN adicional.
  • El bucle de retroalimentacion: una vez comprometido un FortiGate, el grupo lo usa para monitorizar el trafico SSL VPN que pasa por el y recolectar credenciales adicionales. Esas nuevas credenciales se alimentan de vuelta al escaner para comprometer mas dispositivos. El sistema se retroalimenta.
  • Perfil de victimas: la base de datos incluye comentarios con el sector, ingresos y numero de empleados de cada organizacion afectada. Entre las organizaciones identificadas en la filtracion aparecen Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota y Siemens. Hudson Rock confirma que la campana ha impactado a "importantes entidades gubernamentales e infraestructura critica".
  • Huntress confirma 845 organizaciones de clientes afectadas: la empresa de seguridad Huntress cruzo las IPs de la filtracion con su corpus de datos y confirmo 845 organizaciones de sus clientes especificamente impactadas.
  • Actor de amenaza: CISA y los investigadores independientes atribuyen la campana a un grupo de habla rusa. Las herramientas de tunelizacion identificadas en la actividad relacionada (Chisel, Neo-reGeorg) senalan a actores sofisticados, no a delincuentes oportunistas de nivel basico.
  • El dataset no esta aun en foros criminales: SOCRadar indica que el dataset especifico no ha sido ofertado ni compartido en foros criminales a la fecha de publicacion, lo que sugiere que el grupo lo esta usando internamente. La monitorizacion de dark web esta activa para detectar cualquier distribucion.

Por que FortiBleed es diferente: no es un zero-day, es la consecuencia de no rotar credenciales

FortiBleed no tiene CVE. No hay un parche que lo resuelva. Es la manifestacion practica de un problema que existe desde que los firewalls de perimetro se conectan a internet: credenciales que alguna vez fueron comprometidas en brechas previas, que nunca se rotaron, y que ahora estan en manos de un grupo que las uso sistematicamente contra los mismos dispositivos que protegen la red. Cuatro factores tecnicos explican por que 86.644 dispositivos quedaron expuestos:

  1. Contrasenas nunca rotadas tras brechas previas. Segun SOCRadar, el 64,3% de las credenciales comprometidas corresponden a cuentas administrativas genericas (35%) y cuentas del sistema integradas de Fortinet (28,3%) que nunca fueron renombradas ni rotadas desde la configuracion de fabrica. La lista de contrasenas utilizada por el atacante no es aleatoria: es una coleccion curada de credenciales filtradas en incidentes anteriores de FortiGate.
  2. Mecanismo de cifrado obsoleto en versiones no actualizadas. Fortinet introdujo el cifrado PBKDF2 para almacenar credenciales de administrador en FortiOS 7.2.11, 7.4.8 y 7.6.1, sustituyendo el mecanismo SHA-256 previo. Sin embargo, cuando un dispositivo se actualiza desde versiones anteriores, las contrasenas existentes permanecen almacenadas con SHA-256 hasta que el administrador correspondiente inicia sesion. Muchas organizaciones nunca forzaron ese inicio de sesion, dejando credenciales crackeable con GPU en sus configuraciones.
  3. Interfaces de gestion expuestas directamente a internet. Beaumont senala que la mayoria de los dispositivos afectados tienen su interfaz de gestion FortiGate expuesta directamente a internet, una configuracion que no deberia ser necesaria en practicamente ningun entorno corporativo. Restringir el acceso a la interfaz de gestion a redes internas de confianza habria eliminado el vector de ataque de la campana.
  4. Aproximadamente el 50% de todos los FortiGate accesibles desde internet estan en la base de datos. A partir de datos de Shodan, Beaumont estima que la filtracion contiene credenciales de aproximadamente la mitad de todos los firewalls Fortinet accesibles desde internet en el mundo. Esto convierte FortiBleed no en un incidente puntual, sino en una instantanea de como falla la seguridad de perimetro en 2026.

Las instrucciones de accion inmediata de CISA para usuarios de Fortinet

La alerta de CISA publicada el 19 de junio de 2026 establece las siguientes acciones inmediatas para organizaciones con dispositivos FortiGate afectados:

  • Terminar todas las sesiones activas SSL VPN y de administracion de forma inmediata en todos los dispositivos FortiGate accesibles desde internet.
  • Rotar todas las contrasenas VPN y de administracion, especialmente en sistemas expuestos a internet, y aplicar politicas de contrasenas robustas. Tratar cualquier contrasena que haya sido usada en los ultimos 12 meses como potencialmente comprometida.
  • Verificar el uso de PBKDF2 para el almacenamiento de credenciales. En FortiOS 7.2.11, 7.4.8, 7.6.1 y versiones posteriores, forzar que todos los administradores inicien sesion al menos una vez para que sus credenciales se re-cifren con PBKDF2. Alternativamente, restablecer manualmente la contrasena de cada administrador usando una cuenta super_admin.
  • Revisar los logs en busca de acceso no autorizado o movimiento lateral, incluyendo sesiones SSL VPN desde IPs desconocidas, cuentas de administrador nuevas no autorizadas, y modificaciones de configuracion del firewall no planificadas.
  • Habilitar MFA resistente al phishing en todas las cuentas administrativas y de acceso remoto.
  • Bloquear el acceso externo a las interfaces de gestion. Restringir el acceso a la interfaz web de gestion y a las interfaces de administracion a redes internas de confianza o redes de gestion fuera de banda.
  • Eliminar cuentas no autorizadas y renombrar o eliminar cualquier cuenta de administrador generica con el nombre por defecto ("admin").

Lecciones clave para organizaciones espanolas con FortiGate

Fortinet FortiGate es el firewall de perimetro mas instalado en pymes espanolas, empresas medianas e infraestructuras publicas en Espana. El patron de FortiBleed es el mismo que hemos documentado en el blog de Apolo con Palo Alto (CVE-2026-0257, junio), Check Point (CVE-2026-50751, junio) y Cisco SD-WAN (CVE-2026-20262, junio): los dispositivos de perimetro son el objetivo prioritario en 2026. La diferencia con FortiBleed es que no requiere un zero-day. Basta con que las credenciales no se hayan rotado:

  • Auditoria inmediata de credenciales FortiGate. Revisar todos los usuarios administrativos de FortiGate en busca de cuentas con nombre generico ("admin", "administrator", "fortiadmin"), contrasenas que no han sido cambiadas en los ultimos 6 meses, y cuentas que no son necesarias para la operativa actual.
  • Forzar PBKDF2 en todos los dispositivos FortiOS actualizable. Verificar la version de FortiOS instalada. Si es 7.2.11, 7.4.8, 7.6.1 o superior, forzar el inicio de sesion de todos los administradores o restablecer sus contrasenas para asegurar el cifrado PBKDF2.
  • Restriccion de la interfaz de gestion. Si la interfaz de gestion web o SSH de FortiGate es accesible desde internet, restringirla inmediatamente a IPs de confianza o eliminar el acceso externo.
  • Comprobar si la organizacion esta en la filtracion. Hudson Rock proporciona una herramienta de busqueda gratuita (FortiBleed lookup) que permite verificar si la IP publica del FortiGate de la organizacion aparece en el dataset comprometido.
  • Si la organizacion esta en el dataset, tratar como incidente confirmado. Cambiar credenciales, revisar logs de acceso VPN desde el 1 de junio, buscar cuentas de administrador nuevas o modificaciones de configuracion no planificadas, y activar el protocolo de respuesta a incidentes.

La ciberseguridad como prioridad estrategica

FortiBleed cierra el ciclo de una leccion que se repite en el blog de Apolo desde el inicio de junio: los dispositivos de perimetro corporativo son el objetivo #1. Palo Alto, Check Point, Cisco SD-WAN y ahora Fortinet, todos comprometidos en el mismo mes. Pero FortiBleed tiene un matiz que los CVEs anteriores no tienen: no se puede resolver con un parche. La solucion es operativa, no tecnica. Rotar credenciales, forzar PBKDF2, eliminar cuentas genericas, restringir la interfaz de gestion. Son tareas que llevan horas, no semanas. El 86.644 es el numero de organizaciones que, a junio de 2026, no habian hecho ninguna de esas cosas en sus FortiGate accesibles desde internet.

Apolo Cybersecurity: auditoria y hardening urgente de infraestructura Fortinet ante FortiBleed

En Apolo Cybersecurity ayudamos a organizaciones con FortiGate a responder a FortiBleed: verificacion de la presencia en el dataset comprometido mediante la herramienta FortiBleed lookup, auditoria de cuentas administrativas y eliminacion de cuentas genericas, forzado de PBKDF2 en dispositivos actualizados, restriccion de la interfaz de gestion, revision de logs de sesiones SSL VPN desde el 1 de junio en busca de acceso no autorizado, y evaluacion del riesgo de movimiento lateral si el FortiGate fue comprometido.

Si tu organizacion usa FortiGate y no tienes confirmacion de que las credenciales de administracion han sido rotadas en los ultimos 6 meses y de que la interfaz de gestion no es accesible desde internet, este lunes es el momento de verificarlo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity