¿Qué es la campaña FortiBleed?
Una nueva ola de intrusiones ha puesto en jaque a decenas de miles de dispositivos Fortinet, desde firewalls corporativos hasta pasarelas VPN. El fenómeno, bautizado como FortiBleed, no se sustenta en la explotación de vulnerabilidades técnicas desconocidas, sino en una práctica mucho más simple: la reutilización de credenciales que ya estaban expuestas o fueron obtenidas mediante ataques de fuerza bruta.
Modo de operación de los atacantes
Los cibercriminales inician la ofensiva con herramientas automatizadas que rastrean la internet en busca de equipos Fortinet accesibles públicamente. Al localizar un firewall sin una política de contraseñas robusta, emplean listas de claves previamente robadas para acceder al sistema. Una vez dentro, convierten el dispositivo en un puesto de vigilancia, interceptando tráfico y capturando nuevas credenciales que circulan por la red. Estas contraseñas recién obtenidas se reintegran al escáner, permitiendo que la cadena de compromisos se alimente de forma autogenerada.
Alcance y víctimas
Según los informes de Hudson Rock y SOCRadar publicados esta semana, la cifra de URLs de Fortinet comprometidas supera los 73 000, mientras que el número total de dispositivos vulnerados supera los 30 000. Entre los nombres que aparecen en la lista destacan gigantes como Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC. La distribución geográfica muestra una concentración en India, Estados Unidos, Taiwán y México, aunque los incidentes se extienden por todo el planeta.
Sectores más impactados
Los sectores de servicios de TI, materiales de construcción y telecomunicaciones lideran la lista de afectados, según Hudson Rock. Además, SOCRadar señala que agencias gubernamentales también se han visto involucradas. Los analistas de ambas firmas coinciden en que el grupo responsable parece estar formado por hablantes de ruso.
Respuesta de Fortinet y la comunidad de seguridad
Fortinet, a través de su portavoz Tiffany Curci, reconoce la existencia de la campaña y asegura que la información recabada corresponde a reutilización de datos de incidentes anteriores y fuerza bruta de credenciales, sin relación con vulnerabilidades recientes. La empresa está trabajando para mitigar el riesgo y aconseja a sus clientes cambiar las contraseñas de forma regular, habilitar autenticación multifactor y restringir el acceso remoto a los firewalls.
Lecciones para las organizaciones
El caso FortiBleed reafirma que la seguridad no depende exclusivamente de parches y actualizaciones, sino también de buenas prácticas de gestión de credenciales. Adoptar contraseñas complejas, rotarlas periódicamente y monitorizar intentos de acceso fallidos son medidas esenciales para evitar que los atacantes conviertan un simple dispositivo en una puerta trasera.