Introducción
Las grandes campañas de intrusión rara vez se apoyan en sofisticación técnica. FortiBleed, la operación revelada a mediados de junio de 2026 por los investigadores de SOCRadar y Hudson Rock, es una demostración contundente de ello: más de 30 000 firewalls y pasarelas VPN de Fortinet comprometidos en 194 países, sin que se explotara ninguna vulnerabilidad desconocida. El vector de entrada fue más simple —y más perturbador—: listados de contraseñas procedentes de filtraciones anteriores y equipos de perímetro cuyos credenciales nadie había considerado necesario actualizar.
Credenciales sin renovar como punto de entrada
El grupo detrás del ataque, de presunto origen rusohablante, actuó de forma metódica. Armado con bases de datos de contraseñas recopiladas en compromisos previos de equipos Fortinet, desplegó herramientas automatizadas capaces de escanear Internet en busca de dispositivos FortiGate expuestos y probar conexiones en cada uno. La operación involucró alrededor de 1 160 millones de intentos de autenticación contra más de 320 000 objetivos identificados.
Esta técnica —el credential stuffing— no es nueva. Lo que distingue a FortiBleed es la explotación de una realidad organizacional bien conocida: tras una filtración de datos, los equipos de TI suelen renovar las contraseñas de los puestos de usuario y los servicios expuestos, pero con frecuencia descuidan los credenciales de los equipos de perímetro de red. Los firewalls, routers y concentradores VPN quedan fuera del radar. Los atacantes lo saben, y los convirtieron en su objetivo principal.
Un ciclo que se retroalimenta
La mecánica de la campaña no se detiene en el compromiso inicial. Una vez infiltrado un dispositivo, el grupo lo convirtió en un punto de escucha pasivo: el equipo continúa filtrando el tráfico legítimo de la organización, pero capta en el proceso todas las credenciales que circulan —accesos a aplicaciones internas, autenticaciones VPN, sesiones de administración—. Esos nuevos datos pasan a enriquecer las listas utilizadas para comprometer nuevos objetivos.
El resultado es un ciclo que se autorefuerza: cada firewall comprometido amplía la capacidad de recolección del grupo, que va construyendo progresivamente una red de sensores discretos diseminados en las infraestructuras de sus víctimas. Hudson Rock estimó en más de 73 000 el número de URLs únicas de Fortinet afectadas, una cifra notablemente superior a los 30 000 dispositivos confirmados que maneja SOCRadar.
Víctimas que figuran entre las mayores empresas del mundo
Las organizaciones identificadas en los datos exfiltrados abarcan un espectro amplio: firmas de consultoría, gigantes tecnológicos, grupos industriales, bancos, operadores de telecomunicaciones e instituciones sanitarias. Los nombres de Accenture, Oracle, Samsung, Siemens, PwC, Comcast, Foxconn y Lenovo aparecen en las bases de datos constituidas por los atacantes. Los países más afectados son India, Estados Unidos, Taiwán y México, aunque la presencia de la campaña en 194 países la convierte en un problema de alcance verdaderamente global.
Lo que los equipos deben hacer ahora
FortiBleed plantea una pregunta directa a los responsables de seguridad: ¿la política de renovación de contraseñas cubre realmente los equipos de perímetro? Con demasiada frecuencia, la respuesta es no. Hay acciones prioritarias que no pueden esperar:
- Auditar los credenciales de firewalls y pasarelas VPN expuestos en Internet, comenzando por verificar si han sido modificados desde las últimas filtraciones conocidas que afectaron a equipos Fortinet.
- Activar la autenticación multifactor en todos los accesos de administración de equipos de red, una medida todavía ausente en muchas configuraciones en producción.
- Monitorizar los indicadores de compromiso publicados por los equipos de investigación, en particular los intentos masivos de autenticación y las conexiones desde rangos de IP inusuales.
- Segmentar los accesos de gestión para que las interfaces de administración nunca sean directamente accesibles desde Internet.
La sofisticación técnica no fue el factor decisivo en esta campaña. Fue la higiene de credenciales —descuidada en equipos que se consideran inmutables porque nunca fallan— la que hizo posible uno de los compromisos de perímetro de red más masivos del año.