FortiBleed: 74,000 firewalls FortiGate con credenciales filtradas y por qué tu organización debe actuar hoy

Una campaña global de robo de credenciales expuso accesos verificados a la mitad de los firewalls FortiGate visibles en internet. No es un zero-day: es un problema de credenciales y configuración que probablemente ya está dentro de tu perímetro.

A mediados de junio de 2026, investigadores de seguridad revelaron FortiBleed, una campaña activa que comprometió credenciales válidas de aproximadamente 74,000 dispositivos Fortinet —firewalls FortiGate y gateways VPN SSL— distribuidos en 194 países. CISA emitió una alerta el 18 de junio urgiendo a las organizaciones afectadas a tomar medidas de endurecimiento de inmediato. Si tu organización opera un FortiGate expuesto a internet, esto te concierne directamente.

¿Qué pasó?

El nombre “FortiBleed” describe el hallazgo de un servidor operativo de un grupo de atacantes que llevaba meses comprometiendo dispositivos Fortinet a escala industrial. El servidor no contenía solo una lista de contraseñas: incluía las herramientas, los scripts de automatización, la lista de víctimas y credenciales verificadas y funcionales para decenas de miles de equipos.

El descubrimiento inicial fue del investigador Volodymyr “Bob” Diachenko, y firmas como SOCRadar y HudsonRock lo analizaron y divulgaron formalmente entre el 16 y el 17 de junio de 2026. Las estimaciones varían entre 73,932 y 86,644 dispositivos según la fuente, pero todas coinciden en algo: el dataset abarca cerca del 50% de los FortiGate accesibles desde internet.

Es importante entender el mecanismo, porque cambia por completo la respuesta. FortiBleed no es un zero-day de Fortinet. No hay evidencia de que los productos Fortinet hayan sido vulnerados por una falla desconocida. El ataque se basa en credenciales: los operadores prueban listas de contraseñas filtradas en incidentes previos contra dispositivos expuestos (un ataque conocido como credential stuffing), y una vez dentro de un equipo lo usan como punto de escucha para capturar credenciales nuevas que pasan por el tráfico. Esas credenciales recién recolectadas alimentan de nuevo el escáner. El sistema se retroalimenta solo.

El dataset incluye credenciales en texto claro, hashes y otros indicadores de compromiso. Una gran parte de las cuentas comprometidas son cuentas de administrador genéricas y cuentas de sistema de Fortinet sin renombrar —es decir, organizaciones que nunca cambiaron las credenciales de fábrica ni rotaron contraseñas tras una filtración anterior. Los atacantes lo sabían y contaban con ello.

La atribución, todavía en curso, apunta a operadores de habla rusa, con un patrón de víctimas concentrado en países miembros de la OTAN, lo que sugiere una dimensión geopolítica además de la financiera.

¿Por qué importa?

Fortinet es uno de los fabricantes de seguridad de red más desplegados del mundo, y México y Latinoamérica no son la excepción: bancos, telcos, gobierno, universidades, energía y manufactura corren FortiGate como pieza central de su perímetro. El dataset de FortiBleed contiene entradas en todos esos sectores y regiones.

El riesgo aquí no es teórico. Si tu dispositivo aparece en la lista, significa que un atacante ya tiene usuario y contraseña funcionales para tu firewall o tu VPN. Eso es la llave del perímetro: desde ahí se puede pivotar hacia la red interna, alterar configuraciones de seguridad, crear cuentas administrativas para persistencia y moverse lateralmente hacia controladores de dominio.

Lo más relevante: como el vector es de credenciales y no de software, actualizar el firmware no es suficiente por sí solo. El problema vive en las contraseñas reutilizadas, el almacenamiento débil de hashes y las interfaces de administración expuestas a internet. Es un patrón repetible que aplica a cualquier dispositivo de perímetro, no solo a Fortinet.

¿Qué significa para tu organización?

1. Si tienes un FortiGate expuesto a internet, asume riesgo activo. La probabilidad de aparecer en el dataset es alta dado que cubre la mitad de los dispositivos expuestos globalmente. No esperes a una confirmación para empezar a endurecer.
2. Las credenciales por sí solas ya son un pasivo crítico. Cualquier ruta administrativa o de VPN que aún sea accesible con solo usuario y contraseña debe considerarse una puerta abierta. El factor único de autenticación dejó de ser aceptable en el perímetro.
3. El almacenamiento legacy de credenciales es parte del problema. Las versiones antiguas de FortiOS con hashing débil facilitaron el cracking de las contraseñas extraídas de archivos de configuración. La migración a un esquema de hashing robusto es ahora una prioridad, no una mejora opcional.
4. La interfaz de administración no debe vivir en internet. El denominador común de las víctimas a gran escala es un panel de administración o VPN alcanzable desde la red pública. Reducir esa superficie es la medida más efectiva que puedes tomar.

¿Qué debe hacer tu organización ahora?

CISA publicó medidas de endurecimiento que debes aplicar de inmediato sobre tus FortiGate y gateways VPN SSL:

1. Termina sesiones y restablece credenciales. Termina todas las sesiones SSL VPN y administrativas activas. Restablece todas las contraseñas de VPN y administrativas de Fortinet, en especial en sistemas expuestos a internet, y aplica políticas de contraseñas robustas.
2. Asegura el almacenamiento de credenciales. Confirma que tu organización usa el algoritmo PBKDF2 (Password-Based Key Derivation Function 2) para almacenar las credenciales de administrador y elimina los hashes legacy más débiles, conforme a la guía de Fortinet para FortiOS v7.2.11 y posteriores.
3. Revisa los logs. Examina los registros de firewall, VPN, autenticación y controladores de dominio en busca de movimiento lateral, accesos inusuales, cuentas sospechosas o cambios de configuración no autorizados. Audita cuentas anómalas como forticloud-sync o forticloud-tech.
4. Habilita MFA resistente a phishing. Exige autenticación multifactor resistente a phishing en todas las cuentas de acceso remoto y administrativas, y asegúrate de que esté forzada en todos los gateways externos e interfaces administrativas.
5. Reduce la superficie de ataque y bloquea el acceso de administración. Asegúrate de que la administración del firewall no sea accesible desde internet público; restringe las interfaces de gestión de Fortinet a redes internas de confianza; y elimina o deshabilita cualquier cuenta innecesaria o no autorizada.

Conclusión

FortiBleed es un recordatorio incómodo de que las brechas más grandes rara vez nacen de una vulnerabilidad espectacular. Nacen de contraseñas que nunca se rotaron, cuentas de fábrica que nunca se renombraron e interfaces de administración que jamás debieron estar expuestas a internet. El atacante no forzó la puerta: entró caminando con una llave que tu organización dejó en la cerradura.

La buena noticia es que las medidas de mitigación son claras y están a tu alcance. La mala es que cada hora que un FortiGate comprometido permanece accesible con credenciales válidas es una hora de ventaja para el atacante. La respuesta correcta no es esperar a confirmar si estás en la lista, sino actuar como si lo estuvieras.

En Cyberseg Solutions acompañamos a organizaciones en el endurecimiento de su infraestructura Fortinet, la revisión forense de logs y la implementación de MFA resistente a phishing y arquitecturas de mínimo privilegio. Si quieres una evaluación de exposición de tus dispositivos perimetrales y un plan de remediación priorizado frente a FortiBleed, escríbenos.

Fuentes: CISA — Urges Hardening Fortinet Devices After Reports of Credential Exposure · SOCRadar — FortiBleed: The Compromise of 80,000+ Fortinet Firewalls · SOCRadar FortiBleed Check (free tool) · Fortinet — Enforcing PBKDF2 as hash function for administrator accounts