FortiBleed: 75.000 firewalls FortiGate comprometidos en todo el mundo — CISA exige acción inmediata
Una campaña masiva de robo de credenciales llamada FortiBleed ha comprometido decenas de miles de firewalls FortiGate a nivel global. CISA emitió una alerta de emergencia instando a todos los clientes de Fortinet a rotar credenciales de inmediato.
Entre 30.000 y 75.000 firewalls FortiGate están activamente comprometidos. Las credenciales de esos dispositivos son reales, verificadas y están en manos de atacantes en este momento.
La campaña, bautizada FortiBleed, ha afectado 194 países. Los investigadores estiman que aproximadamente el 50% de todos los dispositivos FortiGate accesibles desde internet están comprometidos — un radio de explosión asombroso para una operación que no depende de un zero-day espectacular.
Cómo funciona
FortiBleed no explota una vulnerabilidad de ejecución remota de código novedosa. Explota el descuido.
Los atacantes extraen sistemáticamente archivos de configuración de firewalls FortiGate expuestos a internet y crackean los hashes de credenciales almacenados. La debilidad es arquitectónica: FortiGate históricamente almacenaba contraseñas con hashing SHA-256 — un hash rápido, trivialmente descifrable a escala. Incluso después de que Fortinet actualizó su mecanismo de almacenamiento a PBKDF2, las credenciales antiguas permanecen en un campo “old-password” hasta que el administrador inicia sesión nuevamente tras la actualización.
Si tu equipo parchó FortiOS pero no forzó a cada administrador a iniciar sesión de nuevo, esos hashes SHA-256 siguen existiendo en la configuración. FortiBleed los encuentra, los descifra offline y valida los resultados con escáneres automatizados que funcionan las 24 horas.
Una vulnerabilidad relacionada, CVE-2026-25089 (inyección de comandos OS en FortiSandbox), fue señalada en el mismo boletín de inteligencia de amenazas — lo que sugiere que la campaña forma parte de una operación más amplia dirigida al ecosistema Fortinet.
Quiénes están afectados
Cualquier organización que ejecute un firewall FortiGate o una puerta de enlace SSL VPN accesible desde internet está en el alcance. Eso incluye miles de empresas, agencias gubernamentales e infraestructuras críticas en todo el mundo.
La alerta de CISA, publicada el 18 de junio, describe la situación como una amenaza activa que requiere respuesta inmediata — no es una situación de parchear y esperar.
Qué debes hacer ahora mismo
Las acciones recomendadas por CISA, en orden:
- Terminar todas las sesiones activas de SSL VPN y administración de forma inmediata.
- Rotar cada credencial de administrador y VPN en sistemas expuestos a internet. No basta con resetear contraseñas — revocar y reemitir.
- Forzar el hashing PBKDF2 exigiendo que todos los administradores inicien sesión tras la última actualización de FortiOS. Esto obliga al sistema a descartar los hashes SHA-256 heredados.
- Eliminar los hashes SHA-256 residuales usando la configuración
login-lockout-upon-weaker-encryption. - Restringir el acceso a la interfaz de administración únicamente a redes internas de confianza. Si tu panel de administración FortiGate es accesible desde internet público, esa es la causa raíz.
- Habilitar MFA en todas las cuentas administrativas.
El patrón más amplio
Los dispositivos Fortinet han sido un objetivo persistente en 2026. FortiClient EMS (CVE-2026-35616) fue explotado el 1 de junio para tomar control del gestor de endpoints. FortiSandbox (CVE-2026-39813) comenzó a ver explotación activa el 15 de junio. FortiBleed es el tercer incidente importante de Fortinet solo en este mes.
El patrón sugiere ya sea un actor de amenazas coordinado o un ecosistema de atacantes oportunistas que han aprendido que los operadores de dispositivos Fortinet tienden a parchear lentamente y a rotar credenciales con aún menos frecuencia.
Si ejecutas FortiGate, la pregunta no es si debes actuar — es si ya has sido comprometido.