Ataque FortiBleed: Más de 86,000 dispositivos Fortinet comprometidos

En el dinámico y hostil panorama de la ciberseguridad global, rara vez somos testigos de un golpe que fracture el modelo de seguridad perimetral de manera tan inmediata y masiva. A mediados de junio de 2026, la comunidad internacional de seguridad se vio sacudida por la revelación de un incidente sin precedentes en la gestión de identidades y accesos. No se trata de una vulnerabilidad de “día cero” (zero-day) en el código de un fabricante, sino de una campaña sistemática e industrializada de recolección de accesos que ha puesto de rodillas a miles de corporaciones. El denominado ataque FortiBleed ha expuesto las credenciales administrativas y de accesos SSL VPN verificadas de entre 74,000 y más de 86,644 dispositivos cortafuegos Fortinet FortiGate expuestos a Internet en todo el mundo. La escala de este desastre es tan colosal que, de acuerdo con análisis de firmas de inteligencia como SOCRadar, Huntress y Hudson Rock, la filtración representa aproximadamente el 50% de todos los dispositivos FortiGate activos y alcanzables globalmente a través de la red pública.

¿Qué es y cómo se originó el ataque FortiBleed?

La génesis de este alarmante descubrimiento se atribuye al reputado investigador de seguridad Volodymyr “Bob” Diachenko, quien localizó un servidor de comando y control (C2) perteneciente a un grupo cibercriminal de habla rusa que se encontraba accidentalmente expuesto a Internet. Al examinar el servidor, Diachenko descubrió bases de datos de credenciales validadas, herramientas de automatización, scripts de ataque y registros detallados de intrusión. Posteriormente, analistas de la firma de ciberseguridad Hudson Rock evaluaron la información y bautizaron formalmente a la campaña como “FortiBleed”. El analista independiente Kevin Beaumont y otros expertos del sector validaron muestras aleatorias del conjunto de datos, confirmando con profunda preocupación que las credenciales administrativas eran auténticas, vigentes y permitían el acceso directo a redes corporativas críticas.

A diferencia de otras brechas históricas, el ataque FortiBleed no se basó en la explotación de un fallo crítico en el firmware de Fortinet. En su lugar, los atacantes explotaron la más antigua y persistente vulnerabilidad de la informática: la fatiga de credenciales, el uso de contraseñas por defecto y la higiene de seguridad deficiente por parte de los administradores de sistemas. La base de datos comprometida, que comenzó a circular activamente en foros clandestinos de la Dark Web en ruso por un valor inicial de 25,000 dólares, abarca 73,932 URLs únicas de cortafuegos FortiGate y más de 21,600 dominios corporativos. Este incidente subraya un cambio de paradigma en las tácticas de los actores de amenazas, quienes prefieren “iniciar sesión legítimamente” en lugar de forzar la entrada mediante costosos exploits de software.

La maquinaria técnica detrás de la intrusión masiva

Para lograr comprometer la mitad de la infraestructura global de Fortinet expuesta a la red, los actores de amenazas diseñaron una infraestructura altamente coordinada y escalable. Las investigaciones forenses revelaron que los atacantes no realizaron una operación artesanal, sino que estructuraron un pipeline de recolección de credenciales automatizado compuesto por las siguientes etapas críticas:

• Escaneo masivo de objetivos: Utilizando herramientas de reconocimiento de alta velocidad y motores de búsqueda de internet industrial como Shodan y Censys, los atacantes mapearon de forma sistemática cada interfaz de administración de FortiGate y endpoints de SSL VPN expuestos en el puerto WAN de las organizaciones a nivel mundial.
• Ataques de fuerza bruta y “Credential Spraying” a gran escala: Con las listas de objetivos definidas, los atacantes ejecutaron aproximadamente 1.16 mil millones de intentos de inicio de sesión contra más de 320,000 firewalls FortiGate. De manera simultánea, la campaña apuntó a otros vectores de entrada, registrando más de 2.1 mil millones de intentos de acceso contra 163,650 servidores Microsoft SQL Server (MSSQL), lo que demuestra que se trataba de una ofensiva multifacética para penetrar los perímetros empresariales empleando bases de datos de contraseñas previamente filtradas en otros de sus ataques (credential reuse).
• Extracción de configuraciones y hashes: Tras lograr el acceso inicial mediante el rociado de contraseñas, o aprovechando privilegios de cuentas débiles, los atacantes procedieron a extraer los archivos de configuración de los dispositivos FortiGate comprometidos. Estos archivos contenían las bases de datos locales de usuarios y los hashes de autenticación de las VPN SSL.
• Craqueo offline con Hashtopolis: Una vez que obtuvieron los hashes de las credenciales, los atacantes no necesitaron seguir interactuando con los dispositivos objetivos, evitando así activar las alarmas de detección de intrusos. En su lugar, transfirieron los hashes a un clúster de craqueo offline de alto rendimiento equipado con 45 procesadores gráficos (GPU) de última generación. Todo este ecosistema de descifrado estuvo orquestado mediante Hashtopolis, una plataforma de código abierto que permite distribuir tareas de descifrado de contraseñas de forma centralizada. Con esta potencia de cómputo, descifraron millones de combinaciones en tiempo récord para obtener las contraseñas en texto plano.

La debilidad del hashing legado y la persistencia de las cuentas “admin”

El rotundo éxito de los operadores detrás del ataque FortiBleed puso al descubierto debilidades estructurales tanto en la configuración interna de los dispositivos como en el diseño algorítmico de versiones anteriores de FortiOS. Uno de los factores determinantes para el descifrado masivo de credenciales fue el uso de métodos de encriptación obsoletos. Una proporción sustancial de los sistemas comprometidos almacenaba las contraseñas administrativas utilizando un algoritmo de hash heredado: SHA-256 con sal (salted SHA-256).

Aunque Fortinet introdujo en sus actualizaciones de finales de 2025 el robusto algoritmo PBKDF2 (Password-Based Key Derivation Function 2) para elevar significativamente el costo computacional del craqueo offline, miles de organizaciones no habían actualizado su firmware o no habían forzado una regeneración de los hashes de contraseñas bajo el nuevo estándar. Como consecuencia, las GPU de los atacantes pudieron procesar los hashes SHA-256 antiguos a velocidades exponenciales.

Sumado a la debilidad del hashing, la negligencia administrativa jugó un rol protagónico. Los datos revelan estadísticas devastadoras sobre la higiene de accesos en los dispositivos vulnerados:

• El 35% de las credenciales expuestas correspondía a la cuenta genérica predeterminada “admin”, la cual nunca fue renombrada ni deshabilitada por los equipos de TI.
• El 28.3% pertenecía a cuentas de sistema integradas o perfiles de servicio genéricos creados por defecto para tareas de mantenimiento.
• En total, más del 63% de las cuentas vulneradas presentaba una alarmante ausencia de políticas de rotación de nombres de usuario y contraseñas seguras, facilitando el trabajo de los diccionarios de fuerza bruta de los atacantes.

De la intrusión perimetral al movimiento lateral: El despliegue de herramientas tácticas

El compromiso de las credenciales de VPN y firewalls no fue el objetivo final de los atacantes, sino la llave de entrada para operaciones de mayor envergadura. Una vez consolidada la autenticación en el perímetro a través del canal de VPN SSL, los actores de amenazas procedieron a la fase de post-explotación. Para evadir los sistemas de detección tradicionales y garantizar la persistencia dentro de las redes internas de las víctimas, desplegaron utilidades de tunelización inversa de última generación, destacando el uso de Chisel y Neo-reGeorg.

Estas herramientas permiten encapsular el tráfico de red de manera segura y crear túneles cifrados hacia servidores externos, evadiendo las reglas de inspección profunda de paquetes (DPI) y haciendo pasar el tráfico malicioso por conexiones HTTPS estándar. La adopción de estas técnicas avanzadas de tunelización, sumada al comportamiento general de la campaña, guarda una estrecha correlación táctica con agrupaciones sofisticadas de ciberespionaje patrocinadas por estados nacionales, específicamente el grupo de origen chino Volt Typhoon, conocido por su enfoque en comprometer infraestructura crítica y mantener persistencia silenciosa en entornos Active Directory.

Al acceder con privilegios de administrador de red, los atacantes pudieron saltar rápidamente del firewall perimetral a los controladores de dominio de Active Directory corporativos, comprometiendo por completo la identidad digital de las organizaciones afectadas y allanando el camino para futuros despliegues de ransomware o campañas de exfiltración de información clasificada.

Geografía del riesgo: Sectores e infraestructura crítica bajo fuego

El impacto del ataque FortiBleed es verdaderamente global, extendiendo sus tentáculos sobre 194 países. No obstante, la telemetría de amenazas muestra una preocupante concentración de sistemas comprometidos en puntos estratégicos del globo. Las naciones con el mayor volumen de dispositivos FortiGate expuestos en la filtración son:

1. India: Concentra el mayor número de interfaces de VPN desprotegidas en sectores de manufactura y servicios tecnológicos.
2. Estados Unidos: Registra miles de cortafuegos gubernamentales y corporativos vulnerados.
3. México y Colombia: Lideran la exposición en América Latina, afectando a múltiples proveedores de servicios de telecomunicaciones y entidades del sector financiero.
4. Tailandia: Presenta una alta densidad de