Decenas de miles de firewalls y sistemas VPN de Fortinet, utilizados por algunas de las corporaciones más importantes del mundo, han sido comprometidos en una campaña de ciberataques a gran escala. La operación, bautizada como ‘FortiBleed’, sigue activa y ha sido destapada por las firmas de ciberseguridad Hudson Rock y SOCRadar.
Lo más alarmante de esta campaña no es el uso de una sofisticada vulnerabilidad de día cero, sino un problema de seguridad fundamental: la reutilización de contraseñas y la falta de higiene en la gestión de credenciales para sistemas críticos expuestos a Internet.
El Mecanismo del Ataque: Fuerza Bruta y Credenciales Recicladas
Los atacantes operan mediante un método sistemático. Primero, utilizan herramientas automatizadas para escanear Internet en busca de firewalls y VPNs de Fortinet expuestos. Posteriormente, intentan acceder a estos dispositivos utilizando listas de credenciales (usuario y contraseña) que han sido filtradas en brechas de seguridad anteriores. Una vez que obtienen acceso, los ciberdelincuentes pueden exfiltrar datos sensibles de las redes corporativas.
Punto Clave del Ataque
La campaña FortiBleed no explota una falla de software en los productos de Fortinet, sino que se aprovecha de una débil gestión de contraseñas por parte de las empresas afectadas, un vector de ataque más simple pero altamente efectivo.
El proceso crea un ciclo de retroalimentación peligroso. Según el informe de SOCRadar, el sistema se alimenta a sí mismo: “Una vez que un dispositivo es comprometido, los atacantes lo usan como un puesto de escucha, monitoreando el tráfico que pasa y recopilando cualquier credencial adicional que fluya. Esas contraseñas recién recopiladas se devuelven al escáner para comprometer aún más dispositivos”.
La Respuesta de Fortinet y el Alcance del Impacto
Tiffany Curci, portavoz de Fortinet, confirmó que la compañía está al tanto de la campaña de recolección de credenciales. Según el análisis interno, los datos implicados provienen de ‘un intercambio de datos de incidentes anteriores, así como de fuerza bruta de credenciales’, y subrayó que ‘no están relacionados con ningún incidente o aviso reciente’.
La lista de víctimas es extensa e incluye a corporaciones de primer nivel. Hudson Rock ha identificado entre las empresas afectadas a gigantes como Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC. Ninguna de estas empresas, a excepción de Lenovo que acusó recibo, ha respondido a las solicitudes de comentarios.
Perfil: Fortinet
Fortinet es una corporación multinacional estadounidense con sede en Sunnyvale, California. Fundada en el año 2000 por los hermanos Ken y Michael Xie, se ha consolidado como uno de los líderes mundiales en el sector de la ciberseguridad. La compañía desarrolla y comercializa una amplia gama de soluciones de seguridad, incluyendo firewalls físicos, software antivirus, sistemas de prevención de intrusiones y componentes de seguridad para endpoints. Fortinet salió a bolsa en 2009 y cotiza en el NASDAQ bajo el símbolo FTNT. Su plataforma Security Fabric ofrece una seguridad integrada y automatizada para proteger redes, aplicaciones y entornos en la nube.
- Web: Visitar sitio oficial
- Social: LinkedIn, X (Twitter)
Geografía e Industrias Bajo Asedio
Aunque el impacto es global, los informes señalan una mayor concentración de dispositivos afectados en India, Estados Unidos, Taiwán y México. Las industrias más golpeadas por esta campaña son las de servicios de TI, materiales de construcción y telecomunicaciones. Además, SOCRadar indica que varias agencias gubernamentales también figuran entre las víctimas. Ambas firmas de ciberseguridad sugieren que el grupo detrás de la campaña parece ser de habla rusa.
Cronología del Descubrimiento
| Fin de Semana | El investigador de seguridad Bob Diachenko es el primero en informar sobre la campaña de fuerza bruta masiva. |
| Miércoles | Kevin Beaumont, investigador independiente, analiza los datos filtrados y confirma que la información es ‘legítima’. |
| Semana Actual | Hudson Rock y SOCRadar publican informes detallados, nombrando la campaña como ‘FortiBleed’ y revelando su escala global. |
Este incidente sirve como un crudo recordatorio de que, a menudo, las mayores brechas de seguridad no provienen de complejas hazañas técnicas, sino de fallos en las prácticas de seguridad más básicas, como la gestión de contraseñas seguras y únicas para sistemas críticos.
