Una de las mayores filtraciones de credenciales de seguridad perimetral del año tiene nombre: FortiBleed. Los atacantes compilaron una base de datos con más de 86,644 credenciales válidas y verificadas de firewalls y VPN Fortinet accesibles desde internet, repartidas en 194 países. Para cualquier empresa, el problema no es teórico: cada credencial Fortinet comprometida es una puerta abierta directa a la red corporativa.
¿Qué es FortiBleed y por qué es una amenaza para la ciberseguridad empresarial?
Detectada en junio de 2026, la operación reunió usuarios y contraseñas de infraestructura Fortinet expuesta a internet y los validó con scripts automatizados. Parte de esas credenciales provenía de incidentes anteriores que nunca fueron rotadas, un descuido frecuente en la gestión de credenciales que mantiene accesos vivos durante meses o años.
El investigador de seguridad Kevin Beaumont, junto con Hudson Rock, confirmó que las credenciales son reales y recientes. Según sus mediciones basadas en Shodan, los datos abarcan aproximadamente el 50 % de todos los firewalls Fortinet visibles en internet — una proporción que convierte este robo de credenciales en un riesgo sistémico para empresas e instituciones públicas.
Cómo operan los atacantes: del firewall a la red interna
De acuerdo con el investigador Bob Diachenko, la campaña fue orquestada por un actor de amenazas de habla rusa, y al menos cuatro organizaciones ya fueron comprometidas por completo. El método combina automatización a gran escala con alta capacidad de cómputo:
- Interceptan la autenticación de la VPN SSL de Fortinet para capturar accesos legítimos.
- Crackean los hashes de contraseñas en un clúster de 45 GPU gestionado con Hashtopolis.
- Pivotean hacia el Directorio Activo (Active Directory) interno, moviéndose lateralmente dentro de la red corporativa.
La escala de los ataques es enorme: se estiman alrededor de 1,160 millones de intentos de credenciales contra más de 320,000 equipos FortiGate, además de 2,100 millones de intentos contra más de 160,000 servidores MSSQL.
El impacto real para las organizaciones
Hudson Rock advierte que la campaña afectó a miles de organizaciones, incluidas entidades gubernamentales y proveedores de infraestructura crítica. La firma Huntress, tras cruzar las direcciones IP filtradas con sus propios datos, identificó 845 organizaciones específicas directamente impactadas.
El patrón es el mismo que define a las amenazas más costosas de hoy: los atacantes ya no "irrumpen", inician sesión. Con credenciales válidas en mano, evaden buena parte de las defensas tradicionales y se mueven como un usuario legítimo dentro de la red.
Cómo proteger tu firewall Fortinet: recomendaciones de CISA
La agencia estadounidense CISA emitió una alerta instando a los clientes de Fortinet a aplicar medidas de hardening (endurecimiento) de inmediato:
- Terminar las sesiones activas y restablecer todas las credenciales.
- Asegurar que los accesos de administrador se almacenen con el algoritmo PBKDF2.
- Revisar los registros (logs) en busca de actividad sospechosa.
- Habilitar MFA resistente al phishing (autenticación multifactor).
- Restringir el acceso de gestión de los dispositivos para reducir la superficie de ataque.
La lección para empresas e instituciones en Perú y LATAM
FortiBleed confirma una verdad incómoda: el firewall y la VPN que protegen tu red pueden convertirse en el primer eslabón de un ataque si no se gestionan correctamente. La rotación de credenciales, la autenticación multifactor robusta, la monitorización continua de accesos y la exposición mínima de los paneles de administración dejaron de ser buenas prácticas opcionales para ser controles esenciales de ciberseguridad empresarial.
Para organizaciones públicas y privadas que dependen de firewalls y VPN para conectar sucursales, trabajadores remotos y servicios críticos, este caso es un recordatorio de que la seguridad perimetral exige vigilancia activa y respuesta inmediata ante cualquier indicio de exposición de credenciales.
¿Tu empresa usa Fortinet? En Inforland Perú te ayudamos a auditar la exposición de tus dispositivos y a implementar los controles recomendados por CISA antes de que ocurra un incidente.