FortiBleed: La campaña que expuso 73,932 firewalls Fortinet en 194 países

Método de explotación: Sin día cero, solo mala higiene

A pesar del nombre que evoca a Heartbleed, FortiBleed no tiene nada que ver con una vulnerabilidad de software. Múltiples firmas de seguridad —incluyendo TechCrunch, SOCRadar, Hudson Rock y Arctic Wolf— confirmaron que no se utilizaron vulnerabilidades desconocidas (día cero) .

En su lugar, los atacantes siguieron un enfoque de cadena de suministro en dos pasos:

• Paso 1: Robar credenciales mediante malware infostealer. Las credenciales de las interfaces de administración de Fortinet y los portales VPN fueron robadas inicialmente de las máquinas de empleados y administradores infectadas con malware infostealer .
• Paso 2: Descifrar hashes de contraseñas de configuraciones expuestas. Una vez obtenido el acceso inicial, los atacantes extrajeron archivos de configuración de los dispositivos FortiGate expuestos a internet y descifraron los hashes de las contraseñas SSL VPN almacenadas utilizando un clúster de 45 GPU, aprovechando contraseñas débiles o no rotadas .

SOCRadar confirmó que los atacantes acumularon al menos 30,791 credenciales de trabajo verificadas de dispositivos FortiGate expuestos a internet . El análisis independiente de Arctic Wolf confirmó que las estimaciones de dispositivos comprometidos oscilan entre 30,000 y 75,000 .

Víctimas de alto perfil

Entre las víctimas confirmadas nombradas en múltiples informes se incluyen Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC, junto con agencias gubernamentales de al menos 15 naciones . Reuters informó que la mayoría de los dispositivos comprometidos se encontraban en Estados Unidos, India y Taiwán .

Las industrias más afectadas, según los datos analizados, fueron:

• Servicios de TI (proveedores de servicios gestionados, operaciones en la nube)
• Materiales de construcción (grandes proveedores multinacionales)
• Telecomunicaciones (operadores de primer nivel y proveedores de internet)

Múltiples fuentes identifican estos como los tres sectores más impactados .

Ataques simultáneos relacionados

De forma concurrente con FortiBleed, los investigadores observaron 2.1 mil millones de intentos de inicio de sesión por fuerza bruta contra más de 160,000 servidores MSSQL expuestos a internet, que se cree que son operados por el mismo grupo de amenazas .

Atribución

Tanto SOCRadar como Hudson Rock atribuyen la campaña a un grupo de amenazas multoperador de habla rusa . Los atacantes mantenían una infraestructura back-end activa —incluyendo trabajos cron, telemetría y bucles activos de robo de credenciales— en los dispositivos comprometidos, lo que indica una operación sofisticada y continua, no una recolección de datos única .

Respuesta recomendada

Las firmas de seguridad, incluyendo Hudson Rock, Arctic Wolf y Fortinet, recomiendan las siguientes acciones inmediatas para cualquier organización que utilice dispositivos Fortinet:

• Forzar la rotación inmediata de credenciales para todas las cuentas de administrador de FortiGate y SSL VPN .
• Implementar la autenticación multifactor (MFA) en cada inicio de sesión VPN: este es el control más efectivo contra los ataques de relleno de credenciales .
• Auditar los registros del dispositivo en busca de exportaciones de configuración no autorizadas, trabajos cron desconocidos y sesiones VPN anómalas .
• Restringir el acceso a la interfaz de gestión solo a direcciones IP de confianza; nunca dejar la interfaz de administración o SSH expuesta a internet público .

Portal de consulta de exposición gratuito

Hudson Rock lanzó un portal de consulta gratuito que permite a cualquier organización buscar su dominio en el conjunto de datos de credenciales de 73,932 dispositivos. Esta herramienta se publicitó ampliamente el 17 y 18 de junio de 2026 .