ecovida ambienteUna de las mayores campañas de ciberespionaje registradas en los últimos años puso en jaque a organizaciones de todo el mundo. La operación denominada FortiBleed logró comprometer más de 73.900 dispositivos Fortinet en 194 países mediante el uso de credenciales previamente filtradas, exponiendo las debilidades en la gestión de accesos y demostrando que la principal amenaza para la seguridad digital ya no siempre proviene de vulnerabilidades de software, sino del robo y reutilización masiva de credenciales legítimas.
La ciberseguridad mundial enfrenta una nueva alerta de gran magnitud. Un informe elaborado por la firma especializada en ciberseguridad Beiggo revela detalles de FortiBleed, una sofisticada campaña de ciberespionaje que logró comprometer más de 73.900 dispositivos Fortinet distribuidos en 194 países, convirtiéndose en uno de los incidentes más relevantes registrados durante 2026.
La operación puso en evidencia que, en muchos casos, el eslabón más vulnerable de una infraestructura tecnológica no es una falla de software, sino la gestión inadecuada de credenciales y accesos privilegiados.
Según el informe, FortiBleed fue una operación atribuida a actores de amenaza rusoparlantes que explotaron credenciales previamente comprometidas para acceder de forma masiva a dispositivos FortiGate y servicios SSL VPN expuestos a Internet.
A diferencia de otros ataques basados en vulnerabilidades críticas, esta campaña se apoyó principalmente en el uso de credenciales robadas por malware del tipo infostealer, posteriormente utilizadas mediante técnicas automatizadas de credential stuffing y fuerza bruta.
Los investigadores identificaron una infraestructura ofensiva de escala extraordinaria:
La automatización y el volumen de los ataques permitieron a los operadores escalar la campaña a una dimensión pocas veces observada en incidentes de ciberespionaje.
Una vez dentro de las organizaciones, los atacantes no se limitaron al acceso remoto.
El informe indica que los operadores realizaron movimientos laterales hacia entornos internos, especialmente infraestructuras Active Directory, con el objetivo de escalar privilegios, mantener persistencia y acceder a información sensible.
Esta metodología permitió que el compromiso inicial de un firewall o una VPN se transformara rápidamente en una puerta de entrada hacia sistemas críticos corporativos.
Los sectores afectados incluyen:
Los especialistas advierten que el interés de los atacantes estuvo enfocado principalmente en organizaciones que gestionan información crítica o desempeñan funciones estratégicas.
La investigación identifica una distribución global de los compromisos detectados.
Entre los países con mayor cantidad de dispositivos afectados se encuentran:
Con 9.629 dispositivos comprometidos, encabeza el ranking mundial.
Registró 6.352 dispositivos afectados.
Acumuló 3.637 compromisos detectados.
Presentó 3.197 dispositivos comprometidos.
Alcanzó los 3.032 sistemas afectados.
Uno de los episodios más preocupantes reportados durante la investigación involucra el presunto compromiso de un contratista de defensa vinculado a la OTAN en Turquía, donde se habría producido la exfiltración de documentación clasificada.
Uno de los hallazgos más relevantes del informe se relaciona con la gestión de credenciales heredadas en determinadas versiones de FortiOS.
Fortinet incorporó mecanismos de protección más robustos mediante PBKDF2 en las versiones 7.2.11, 7.4.8 y 7.6.1. Sin embargo, cuando los equipos son actualizados desde versiones anteriores, algunas contraseñas administrativas pueden continuar almacenadas bajo esquemas heredados basados en SHA-256.
Aunque los sistemas estén actualizados, los hashes antiguos pueden permanecer activos hasta que los administradores renueven efectivamente sus credenciales.
Esto facilita que actores maliciosos empleen técnicas de descifrado más eficientes y obtengan acceso a cuentas privilegiadas.
Los especialistas remarcan que no se trata de una vulnerabilidad tradicional con un parche específico, sino de una condición relacionada con la gestión de credenciales históricas.
FortiBleed combinó múltiples técnicas reconocidas por el marco MITRE ATT&CK:
Frente a la dimensión de la amenaza, Beiggo recomienda adoptar medidas inmediatas para reducir el riesgo de compromiso:
Cambiar de forma urgente todas las contraseñas administrativas de dispositivos Fortinet.
Especialmente en accesos VPN y cuentas privilegiadas.
Verificar si dominios o usuarios corporativos aparecen en bases de datos comprometidas.
Buscar autenticaciones inusuales, intentos repetitivos y actividades fuera de horario.
Monitorear comportamientos anómalos dentro de la red corporativa.
Limitar servicios administrativos accesibles públicamente siempre que sea posible.
La campaña FortiBleed demuestra que la seguridad moderna ya no depende exclusivamente de corregir vulnerabilidades de software. La gestión de credenciales, la autenticación multifactor y la supervisión constante de accesos privilegiados se han convertido en factores determinantes para proteger infraestructuras críticas.
El incidente también evidencia cómo una credencial comprometida puede transformarse en la llave de acceso a redes corporativas completas, incluso meses o años después de haber sido filtrada.
Mientras miles de dispositivos continúan expuestos a Internet, los expertos advierten que el riesgo sigue vigente y que las organizaciones deben actuar con rapidez para evitar convertirse en el próximo objetivo de una campaña de alcance global.
Fuente: beygoo.io
