✨︎ Resumen (TL;DR):
- La campaña FortiBleed comprometió miles de firewalls Fortinet FortiGate para robar información de acceso.
- Se han filtrado más de 110 millones de credenciales utilizando una herramienta especializada en Golang.
- Autoridades internacionales exigen apagar sesiones activas, restablecer accesos y aplicar autenticación multifactor.
Una masiva campaña de ciberespionaje bautizada como FortiBleed comprometió más de 430,000 firewalls Fortinet FortiGate a nivel mundial, logrando la filtración de más de 110 millones de credenciales desde febrero de 2026. La firma de ciberseguridad SOCRadar reveló el uso de una herramienta personalizada para espiar el tráfico de red de forma pasiva y selectiva.
La investigación, publicada el 21 de junio, detalla que la operación es dirigida presuntamente por un intermediario de acceso inicial de habla rusa. La gravedad de la intrusión encendió las alertas de agencias de seguridad como la CISA de Estados Unidos, el Centro Canadiense de Ciberseguridad y la Agencia de Seguridad Cibernética de Singapur.
El núcleo del ataque radica en un software espía personalizado. FortigateSniffer es una herramienta basada en Golang que abusa de comandos de diagnóstico legítimos de FortiOS para capturar silenciosamente el tráfico de autenticación de los dispositivos comprometidos.
Los atacantes obtienen acceso administrativo inicial mediante ataques de fuerza bruta y relleno de credenciales (credential stuffing). Una vez dentro, despliegan el sniffer para monitorear el tráfico a través de 24 protocolos, incluidos RADIUS, NTLM, Kerberos y LDAP.
Reconstrucción de datos y exfiltración activa
Para procesar la información capturada, los atacantes usan un componente denominado SNIFTRAN, el cual reconstruye el tráfico de red en archivos de captura (PCAP). Posteriormente, un conjunto de herramientas en Python extrae contraseñas en texto plano, hashes de seguridad y tickets de Kerberos listos para descifrarse con tarjetas gráficas (GPU) mediante Hashcat.
SOCRadar identificó al menos 659 ciclos de recolección de datos dentro de la infraestructura del ataque. Actualmente, más de 19,000 dispositivos FortiGate siguen bajo vigilancia activa por parte de los operadores de la campaña, dentro de un universo de 80,553 objetivos identificados.
Por su parte, la CISA confirmó el compromiso de 86,644 dispositivos en 194 países, detectando incluso la exfiltración exitosa de información de un contratista de defensa aliado de la OTAN.
Medidas de mitigación inmediatas
Fortinet aclaró que FortiBleed no aprovecha una nueva vulnerabilidad de día cero (zero-day). La compañía atribuyó el incidente a la reutilización de credenciales, contraseñas débiles y a la falta de autenticación multifactor (MFA) en las interfaces de administración expuestas.
Sin embargo, los análisis de SOCRadar contradicen la idea de que se trata de un volcado de datos histórico, demostrando que es una operación activa con robo constante de información.
La CISA ordenó a todas las organizaciones que utilicen dispositivos VPN de Fortinet cerrar las sesiones activas, restablecer credenciales, activar MFA de manera obligatoria y actualizar a la versión más reciente del firmware de FortiOS. La agencia de Singapur sugirió realizar un restablecimiento completo de fábrica, debido a que el cambio de contraseñas podría no ser suficiente si los atacantes ya establecieron mecanismos de persistencia.
