Volver al Blog
Ciberseguridad 23 de junio de 2026 5 min read

FortiBleed: 75.000 firewalls FortiGate comprometidos en todo el mundo — CISA exige acción inmediata

Una campaña masiva de robo de credenciales llamada FortiBleed ha comprometido decenas de miles de firewalls FortiGate a nivel global. CISA emitió una alerta de emergencia instando a todos los clientes de Fortinet a rotar credenciales de inmediato.

FortiBleed: 75.000 firewalls FortiGate comprometidos en todo el mundo — CISA exige acción inmediata

Entre 30.000 y 75.000 firewalls FortiGate están activamente comprometidos. Las credenciales de esos dispositivos son reales, verificadas y están en manos de atacantes en este momento.

La campaña, bautizada FortiBleed, ha afectado 194 países. Los investigadores estiman que aproximadamente el 50% de todos los dispositivos FortiGate accesibles desde internet están comprometidos — un radio de explosión asombroso para una operación que no depende de un zero-day espectacular.

Cómo funciona

FortiBleed no explota una vulnerabilidad de ejecución remota de código novedosa. Explota el descuido.

Los atacantes extraen sistemáticamente archivos de configuración de firewalls FortiGate expuestos a internet y crackean los hashes de credenciales almacenados. La debilidad es arquitectónica: FortiGate históricamente almacenaba contraseñas con hashing SHA-256 — un hash rápido, trivialmente descifrable a escala. Incluso después de que Fortinet actualizó su mecanismo de almacenamiento a PBKDF2, las credenciales antiguas permanecen en un campo “old-password” hasta que el administrador inicia sesión nuevamente tras la actualización.

Si tu equipo parchó FortiOS pero no forzó a cada administrador a iniciar sesión de nuevo, esos hashes SHA-256 siguen existiendo en la configuración. FortiBleed los encuentra, los descifra offline y valida los resultados con escáneres automatizados que funcionan las 24 horas.

Una vulnerabilidad relacionada, CVE-2026-25089 (inyección de comandos OS en FortiSandbox), fue señalada en el mismo boletín de inteligencia de amenazas — lo que sugiere que la campaña forma parte de una operación más amplia dirigida al ecosistema Fortinet.

Quiénes están afectados

Cualquier organización que ejecute un firewall FortiGate o una puerta de enlace SSL VPN accesible desde internet está en el alcance. Eso incluye miles de empresas, agencias gubernamentales e infraestructuras críticas en todo el mundo.

La alerta de CISA, publicada el 18 de junio, describe la situación como una amenaza activa que requiere respuesta inmediata — no es una situación de parchear y esperar.

Qué debes hacer ahora mismo

Las acciones recomendadas por CISA, en orden:

  1. Terminar todas las sesiones activas de SSL VPN y administración de forma inmediata.
  2. Rotar cada credencial de administrador y VPN en sistemas expuestos a internet. No basta con resetear contraseñas — revocar y reemitir.
  3. Forzar el hashing PBKDF2 exigiendo que todos los administradores inicien sesión tras la última actualización de FortiOS. Esto obliga al sistema a descartar los hashes SHA-256 heredados.
  4. Eliminar los hashes SHA-256 residuales usando la configuración login-lockout-upon-weaker-encryption.
  5. Restringir el acceso a la interfaz de administración únicamente a redes internas de confianza. Si tu panel de administración FortiGate es accesible desde internet público, esa es la causa raíz.
  6. Habilitar MFA en todas las cuentas administrativas.

El patrón más amplio

Los dispositivos Fortinet han sido un objetivo persistente en 2026. FortiClient EMS (CVE-2026-35616) fue explotado el 1 de junio para tomar control del gestor de endpoints. FortiSandbox (CVE-2026-39813) comenzó a ver explotación activa el 15 de junio. FortiBleed es el tercer incidente importante de Fortinet solo en este mes.

El patrón sugiere ya sea un actor de amenazas coordinado o un ecosistema de atacantes oportunistas que han aprendido que los operadores de dispositivos Fortinet tienden a parchear lentamente y a rotar credenciales con aún menos frecuencia.

Si ejecutas FortiGate, la pregunta no es si debes actuar — es si ya has sido comprometido.

Fuentes

fortinet fortigate cybersecurity vulnerability CISA