El problema no es una nueva vulnerabilidad de Fortinet: son credenciales comprometidas que siguen dando acceso a firewalls y VPN en todo el mundo.

La historia de FortiBleed sigue evolucionando y cada nueva actualización deja una conclusión inquietante: muchas empresas siguen tratando el incidente como si fuera un simple problema de contraseñas cuando, en realidad, podría tratarse de una intrusión ya consumada.

Según las investigaciones publicadas por SOCRadar, Hudson Rock y otros analistas, los atacantes lograron reunir credenciales válidas de decenas de miles de dispositivos Fortinet expuestos a Internet. Las estimaciones varían según la fuente, pero el volumen es enorme: entre 30.000 y más de 80.000 dispositivos comprometidos distribuidos en 194 países.

No es una vulnerabilidad nueva

Uno de los aspectos más llamativos de FortiBleed es que no existe un nuevo CVE asociado al incidente.

Fortinet, CISA y múltiples investigadores coinciden en que la campaña se basa principalmente en credenciales filtradas previamente, contraseñas reutilizadas, cuentas que nunca fueron rotadas y ataques automatizados de fuerza bruta contra dispositivos accesibles desde Internet.

En otras palabras: los atacantes no están explotando una falla desconocida. Están aprovechando errores de higiene de seguridad acumulados durante años.

El verdadero peligro: una campaña que se alimenta sola

Lo que convierte a FortiBleed en algo particularmente preocupante no es solamente la cantidad de dispositivos afectados.

Los investigadores describen un mecanismo de compromiso “autoalimentado”. Una vez que los atacantes obtienen acceso a un firewall o gateway VPN, utilizan el dispositivo como punto de observación para capturar nuevas credenciales que circulan por el tráfico de red. Esas credenciales luego son reutilizadas para comprometer más organizaciones.

El resultado es un ciclo de expansión continua:

1. Se prueban credenciales filtradas.

2. Se comprometen dispositivos accesibles.

3. Se recolectan nuevas credenciales.

4. Se utilizan esas credenciales para atacar nuevos objetivos.

Cada nuevo acceso puede convertirse en combustible para la siguiente etapa de la campaña.

Muchas víctimas siguen apareciendo

La actualización publicada por investigadores y analistas indica que numerosas organizaciones identificadas en los conjuntos de datos continúan sin tomar medidas suficientes.

El problema es que muchas respuestas iniciales se limitan a cambiar una contraseña o actualizar firmware. Sin embargo, si los atacantes ya tuvieron acceso administrativo al firewall, la situación es mucho más compleja.

Expertos advierten que las organizaciones afectadas deberían asumir un posible compromiso previo y revisar:

• accesos administrativos;

• configuraciones modificadas;

• cuentas creadas recientemente;

• actividad VPN sospechosa;

• movimientos laterales hacia Active Directory u otros sistemas críticos.

Por ese motivo, varios organismos gubernamentales y equipos de respuesta a incidentes están recomendando tratar FortiBleed como un incidente potencial de compromiso completo y no simplemente como una filtración de contraseñas.

Lo que recomienda CISA

La agencia estadounidense CISA publicó una alerta específica para organizaciones que utilizan equipos Fortinet.

Entre las medidas recomendadas se encuentran:

• cerrar todas las sesiones administrativas activas;

• rotar inmediatamente credenciales VPN y administrativas;

• habilitar MFA resistente al phishing;

• revisar registros de autenticación y actividad sospechosa;

• retirar interfaces de administración de Internet pública siempre que sea posible.

Una lección incómoda para la industria

FortiBleed deja una enseñanza que va más allá de Fortinet.

Durante años la industria ha centrado gran parte de la conversación en vulnerabilidades críticas, exploits de día cero y campañas sofisticadas. Sin embargo, esta operación demuestra que un atacante puede obtener resultados masivos utilizando algo mucho más simple: credenciales robadas y configuraciones inseguras.

La campaña también pone de relieve un problema recurrente en la infraestructura digital global: la dependencia de dispositivos perimetrales que permanecen expuestos durante años con credenciales heredadas, configuraciones antiguas y controles insuficientes.

En muchos casos, el eslabón más débil no es el software. Es la gestión operativa de la seguridad.

Y FortiBleed parece estar explotando precisamente eso.