FortiBleed: robo masivo de credenciales en firewalls Fortinet

FortiBleed expone 110 millones de credenciales en firewalls Fortinet

FortiBleed es la campaña de robo de credenciales más grande del año contra dispositivos Fortinet. En consecuencia, lo que empezó como una filtración de 86.000 accesos terminó comprometiendo más de 110 millones de credenciales en 430.000 firewalls de 194 países. El ataque interceptó la autenticación de las VPN SSL y abrió la puerta a redes corporativas en todo el mundo.

Cómo funciona el ataque FortiBleed

FortiBleed opera como una cadena de varias etapas operada por un broker de acceso inicial ruso, activo desde febrero. Por su parte, los atacantes escanearon firewalls FortiGate expuestos a internet, exportaron sus configuraciones y descifraron los hashes de contraseñas de forma offline. Además, capturaron credenciales en 24 protocolos distintos mediante técnicas de fuerza bruta y password-spraying.

De hecho, el verdadero peligro no termina en el firewall. Una vez dentro, los atacantes pivotan hacia entornos de Active Directory, donde pueden moverse lateralmente, robar más datos o desplegar ransomware. Por lo tanto, una sola credencial filtrada puede convertirse en el control total de la red.

Quiénes están en riesgo

El alcance global convierte a FortiBleed en una amenaza para cualquier organización que dependa de firewalls Fortinet y VPN SSL para el acceso remoto. En este sentido, las cifras hablan solas: cerca de mil organizaciones ya figuran como víctimas confirmadas y el número sigue creciendo conforme avanza el análisis forense.

Asimismo, el riesgo aumenta porque muchas empresas tardan en rotar contraseñas tras un incidente. Mientras tanto, las credenciales robadas circulan en mercados clandestinos, listas para venderse al mejor postor.

Cómo protegerse de FortiBleed

Frente a FortiBleed, los especialistas recomiendan medidas concretas e inmediatas para cerrar la ventana de exposición. Si gestionas infraestructura Fortinet, conviene actuar sin demora:

  • Rota todas las credenciales de las VPN y cuentas administrativas expuestas.
  • Activa la MFA obligatoria para impedir el uso de contraseñas robadas.
  • Audita los logs en busca de accesos anómalos y exportaciones de configuración.
  • Adopta una arquitectura ZTNA para limitar el movimiento lateral en la red.

Finalmente, FortiBleed deja una lección clara: el perímetro ya no basta. Por ello, explora más artículos sobre ciberseguridad en nuestro blog y refuerza tus defensas antes de que una credencial olvidada se convierta en tu próxima brecha.

Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.

Puedes encontrarnos en Facebook y LinkedIn para más contenido relacionado con seguridad en internet y muchos temas más.

Fuentes: The Hacker News, SecurityWeek, Unit 42.