Puntos clave:
Una campaña masiva de recolección de credenciales ha comprometido más de 73.000 URL de firewalls y pasarelas VPN de Fortinet en 194 países, otorgando a los atacantes acceso persistente a algunas de las empresas más grandes del mundo.
Los ciberdelincuentes han vulnerado sistemáticamente decenas de miles de dispositivos Fortinet utilizados por empresas como Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture y Comcast, según informes de las firmas de ciberseguridad SOCRadar y Hudson Rock. La campaña, denominada FortiBleed, no se basa en exploits de día cero sino en la reutilización de credenciales y el rociado de contraseñas contra interfaces de gestión y VPN de Fortinet expuestas.
"Los atacantes escanean internet en busca de dispositivos Fortinet, prueban una lista seleccionada de contraseñas conocidas contra cada uno y registran cada inicio de sesión exitoso", dijo SOCRadar en un informe publicado el 16 de junio. "Una vez que un dispositivo es comprometido, lo utilizan como puesto de escucha, monitoreando el tráfico que lo atraviesa y recopilando cualquier credencial adicional que pase".
SOCRadar identificó más de 30.791 dispositivos comprometidos en 21.108 direcciones IP únicas y 8.316 dominios únicos en los sectores gubernamental, telecomunicaciones, salud, educación, servicios financieros e infraestructuras críticas. El análisis de Hudson Rock elevó la cifra a 73.932 URL únicas de Fortinet, basándose en un conjunto de datos detectado por primera vez por el investigador de seguridad Volodymyr Diachenko. Los atacantes ejecutaron aproximadamente 1.160 millones de intentos basados en credenciales contra más de 320.000 objetivos FortiGate, mientras lanzaban simultáneamente 2.100 millones de intentos de fuerza bruta contra 160.000 servidores MSSQL.
La sofisticación técnica de la operación va más allá del simple relleno de credenciales. Una vez dentro de un dispositivo, los atacantes interceptan los hashes de autenticación SSL VPN y los descifran sin conexión utilizando un clúster dedicado de 45 GPU gestionado a través de Hashtopolis, según Hudson Rock. Los dispositivos comprometidos sirven entonces como puestos de escucha que recolectan credenciales adicionales del tráfico que los atraviesa, creando un ciclo autosostenible de acceso no autorizado. India y Estados Unidos concentraron casi un tercio de todas las compromisiones de credenciales identificadas, siendo las telecomunicaciones el sector más afectado con más de 5.600 dispositivos, y las agencias gubernamentales representaron 591 sistemas comprometidos en 111 dominios.
Una máquina de ataque autosostenible
Los atacantes dejaron expuesto un servidor operativo, lo que permitió a los investigadores visibilidad sobre su infraestructura y base de datos de víctimas. SOCRadar indicó que las pruebas técnicas apuntan a actores de amenazas de habla rusa, señalando que la selección de víctimas estaba "fuertemente inclinada hacia organizaciones en países miembros de la OTAN". Entre los datos recuperados se encontraban credenciales de lo que parece ser un endpoint VPN de la industria de defensa, lo que sugiere motivos más allá de la ganancia puramente financiera.
La característica más llamativa de la campaña es lo que le falta: ninguna vulnerabilidad explotada de Fortinet. "No hay día cero, no hay exploit, no hay un 'bleed' real", dijo Waseem Ahmed, director de ingeniería de Secure.com. "A pesar del nombre, esto no es una vulnerabilidad sino un montón de credenciales filtradas en violaciones anteriores de Fortinet, disparadas contra organizaciones que nunca se molestaron en cambiarlas".
Por separado, la firma de seguridad Defused ha observado la explotación activa de tres vulnerabilidades de Fortinet FortiSandbox recientemente parcheadas — CVE-2026-39808, CVE-2026-39813 y CVE-2026-25089 — en ataques que comenzaron a aparecer en honeypots en junio. Las dos primeras fueron calificadas como críticas y parcheadas en abril; la tercera fue abordada en la actualización del martes de parches de junio de Fortinet. Defused señaló que el exploit para CVE-2026-25089 parecía haber sido creado utilizando IA e inicialmente no funcionaba cuando se observó por primera vez.
Implicaciones para los inversores
Las acciones de Fortinet enfrentan vientos en contra, ya que la escala de la campaña FortiBleed plantea preguntas sobre la postura de seguridad de los productos de la empresa y la confianza de los clientes. Las empresas que generan más de 1.000 millones de dólares en ingresos anuales representaron más del 20% de los dispositivos afectados, según SOCRadar — precisamente la base de clientes que impulsa los ingresos recurrentes de alto margen de Fortinet. Sus firewalls y pasarelas VPN se encuentran entre los dispositivos de seguridad de red más ampliamente desplegados a nivel mundial, lo que los convierte en un objetivo persistente. Hudson Rock lanzó un portal de verificación para que las organizaciones comprueben si sus dominios aparecen en el conjunto de datos comprometidos, y SOCRadar instó a las empresas afectadas a "tratar su perímetro de red como ya comprometido y actuar de inmediato".
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
