CIBERSEGURIDAD Un ataque masivo de robo de contraseñas afecta a casi 75,000 firewalls de Fortinet Home Ciberseguridad Dirección copiada El análisis de Hudson Rock vincula el incidente FortiBleed a grupos de habla rusa, comprometiendo accesos corporativos en México y otros 193 países. Publicado el 17 jun 2026 Añadir a tus fuentes preferidas en Google Equipo editorial IT Masters Mag Crédito: Archivo ShutterStock Una reciente filtración de datos, denominada “ FortiBleed “, ha expuesto lo que parece ser una colección de credenciales VPN de Fortinet y FortiGate para 73,932 URL de firewalls de organizaciones de todo el mundo.
Los datos expuestos fueron descubiertos inicialmente por el investigador de seguridad Bob Diachenko , quien afirmó haber encontrado un servidor que contenía lo que parecían ser credenciales VPN válidas de Fortinet , incluyendo nombres de usuario, direcciones de correo electrónico y contraseñas en texto claro. De acuerdo con las capturas de pantalla y la información compartida por Diachenko , la base de datos contiene entradas de Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid y muchas otras empresas. «Se descubre una campaña masiva de ataques de fuerza bruta y explotación activa de Fortinet / FortiGate », publicó Diachenko en LinkedIn.
«Miles de instancias de proveedores líderes aparecen listadas en archivos como este (ver captura de pantalla). Solo este archivo contiene 21 634 nombres de dominio, desde Chevron hasta la propia Fortinet . Todos ellos con contraseñas potencialmente funcionales para los dispositivos FortiGate , obtenidas por diversas vías». Los datos expuestos también incluían comentarios que detallaban el sector, los ingresos anuales y el número de empleados de cada organización, probablemente para planificar ataques.
Fortinet confirma filtración Fortinet tiene conocimiento de una campaña de robo de credenciales por parte de terceros dirigida a los firewalls y puertas de enlace VPN de Fortinet . “Nos comprometemos a proteger a nuestros clientes y supervisamos de forma diligente y continua la actividad de los ciberdelincuentes en la dark web”, declaró al sitio BleepingComputer . La firma detalló que su investigación indica que la recopilación de credenciales se obtuvo mediante incidentes previos y ataques de fuerza bruta, y que no está vinculada a ninguna vulnerabilidad, brecha de seguridad o aviso de seguridad recientemente revelado.
“Según nuestro análisis, los datos involucrados son una recopilación de datos de incidentes anteriores, así como fuerza bruta de credenciales, y no están relacionados con ningún incidente o aviso reciente. Las organizaciones que siguen las mejores prácticas de rutina, incluida la actualización periódica de las credenciales de seguridad, según la guía de este blog de marzo, enfrentan un riesgo mínimo de los detalles de compromiso de credenciales a los que se hace referencia en el informe”. Fortinet aseguró que continúa investigando estos informes “con la seguridad de nuestros clientes como nuestra principal prioridad».
Posteriormente, Diachenko compartió información adicional que afirmaba que la operación fue llevada a cabo por un grupo de ciberdelincuentes de habla rusa que robó credenciales para dispositivos FortiGate SSL VPN . Según la investigación de Diachenko , los atacantes supuestamente realizaron aproximadamente 1 160 millones de intentos de acceso a credenciales contra 320 777 objetivos FortiGate y otros 2 100 millones de intentos contra 163 650 sistemas Microsoft SQL Server .
Además, afirmó que los ciberdelincuentes interceptaron los hashes de autenticación de SSL VPN , los descifraron utilizando un clúster de 45 GPU gestionado mediante Hashtopolis y usaron las credenciales recuperadas para infiltrarse en entornos internos de Directorio Activo ( Active Directory ). Diachenko explicó a BleepingComputer que obtuvo estos detalles tras analizar archivos adicionales expuestos accidentalmente en el mismo servidor. «Dejaron accidentalmente un directorio abierto con artefactos, cadenas de conexión, herramientas, scripts y datos en línea. Los análisis se obtuvieron a través de sus tareas programadas (cron jobs), historiales de bash, logs , etc.
», explicó Diachenko . El investigador también afirmó que varias organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía se vieron completamente comprometidas, incluyendo un contratista de defensa turco de la OTAN del que supuestamente se robaron documentos clasificados. La empresa de inteligencia de amenazas Hudson Rock publicó posteriormente su propio análisis de los datos expuestos tras recibir el conjunto de datos de Diachenko . La empresa describió la colección como uno de los mayores conjuntos conocidos de credenciales comprometidas relacionadas con Fortinet .
Según Hudson Rock , el conjunto de datos contiene 73 932 URL de firewall únicas en 194 países y afecta a 21 632 dominios únicos. La empresa afirma que los atacantes mantuvieron logs detallados de las intrusiones exitosas y crearon una base de datos con credenciales verificadas de organizaciones de prácticamente todos los sectores industriales principales.
Etiquetas: FortiBleed, Fortinet, Ciberseguridad, Filtración de datos, VPN, Tecnología · Ciberseguridad global
About the Author
