Imagen de la OTAN (Fuente: propia)
Imagen de la OTAN (Fuente: propia)
Imagen de la OTAN (Fuente: propia)
Imagen de la OTAN (Fuente: propia)
Redes y TecnologĂ­aĂšltimas Noticias

Brecha masiva en Fortinet: 74.000 firewalls comprometidos, credenciales de la OTAN y Oracle expuestas

Los atacantes, de habla rusa, accedieron a sistemas de autenticaciĂłn de Oracle, FedEx y un contratista de la OTAN, dejando las credenciales en texto plano. El investigador Kevin Beaumont ha confirmado que las claves son reales y actuales.

por Sara Olmedo

Casi 74.000 firewalls Fortinet han sido comprometidos en un ciberataque de escala global que ha expuesto credenciales en texto plano de gigantes como Oracle, FedEx y un contratista de la OTAN. Más de 21.000 direcciones IP distribuidas en 194 países han resultado afectadas, lo que equivale a la mitad de todos los firewalls Fortinet conectados a Internet. Los atacantes, de habla rusa, accedieron a un servidor de mando y control de la infraestructura del grupo, según el investigador Bob Diachenko, responsable del hallazgo.

Claves de la operaciĂłn

  • Una escala sin precedentes. 74.000 dispositivos comprometidos, desde 21.000 IP distintas, sitĂşan esta brecha como la mayor documentada contra equipos Fortinet. Cada registro filtrado incluĂ­a rama de actividad, ingresos y nĂşmero de empleados de la organizaciĂłn afectada.
  • Credenciales en texto plano. Los atacantes almacenaron y difundieron las contraseñas sin cifrar, lo que permitiĂł a otros actores maliciosos utilizar esos datos de forma inmediata. En muchos casos, el acceso se extendiĂł a sistemas de autenticaciĂłn centralizados, como servidores Radius y Microsoft Active Directory.
  • Impacto en corporaciones crĂ­ticas. Entre los afectados figuran Oracle, Chevron, Lenovo, FedEx, el propio Fortinet y un contratista de la OTAN. La exposiciĂłn de informaciĂłn corporativa detallada multiplica el riesgo de campañas de phishing dirigido y suplantaciĂłn de identidad.

El mayor ataque documentado a firewalls Fortinet

El investigador Bob Diachenko, de SecurityDiscovery.com, localizĂł los datos tras obtener acceso al servidor de mando y control de los atacantes. En los logs aparecĂ­an credenciales sin protecciĂłn alguna, junto con metadatos que revelaban el sector, la facturaciĂłn y la plantilla de cada organizaciĂłn comprometida. La dimensiĂłn del ataque ha sorprendido incluso a los expertos: casi la mitad de los firewalls de la marca visibles desde Internet estaban afectados, segĂşn sondeos realizados con la herramienta Shodan.

El investigador independiente Kevin Beaumont confirmó con múltiples organizaciones que las credenciales eran reales y estaban vigentes. “Casi todos” los dispositivos seguían en línea a mediados de esta semana, lo que indica que la campaña no ha sido contenida. Beaumont alertó de que los atacantes no solo recolectaban claves de acceso, sino que pivotaban desde los firewalls hacia otros sistemas internos de autenticación.

Publicidad

Credenciales en texto plano y acceso a sistemas de autenticaciĂłn

Una vez dentro de la red, los ciberdelincuentes podían moverse lateralmente hacia controladores de dominio y servidores RADIUS. Este salto convierte un incidente de seguridad perimetral en una amenaza para toda la arquitectura corporativa. La presencia de credenciales en claro en los registros de los atacantes sugiere una combinación de vulnerabilidades no parcheadas y malas prácticas de almacenamiento de secretos en los propios dispositivos Fortinet.

La lista de afectados incluye compañías energéticas, logísticas, tecnológicas y gubernamentales. Un contratista de la OTAN figura entre los nombres expuestos, lo que eleva la dimensión geopolítica del incidente y podría desencadenar investigaciones por parte de las agencias de ciberseguridad aliadas. En esta redacción entendemos que el episodio supone un golpe reputacional para Fortinet, cuyo valor en bolsa dependerá ahora de la rapidez con que ofrezca un parche definitivo y de su capacidad para gestionar la comunicación de crisis.

Cuando el firewall, que es la primera lĂ­nea de defensa, se convierte en la puerta de entrada, toda la estrategia de seguridad se desmorona de golpe.

ÂżUn punto de inflexiĂłn para la confianza en la seguridad perimetral?

En España, la industria de la ciberseguridad sigue muy de cerca este suceso. Fortinet cuenta con una sólida base de clientes entre grandes empresas del IBEX 35 y administraciones públicas, que ahora deberán auditar sus configuraciones con urgencia. Aunque aún no se ha confirmado cuántas organizaciones españolas aparecen en los registros filtrados, la probabilidad de que haya nombres relevantes es alta. El incidente refuerza la necesidad de migrar hacia modelos de confianza cero que no depositen toda la seguridad en el perímetro de red, y pone en evidencia que la gestión de credenciales —y su cifrado— sigue siendo una de las asignaturas pendientes del sector.

La trayectoria de Fortinet en el mercado español no es ajena a los sobresaltos: en 2024 ya tuvo que corregir una vulnerabilidad crítica en su sistema operativo FortiOS. La repetición de fallos estructurales en productos de amplia implantación podría acelerar la rotación hacia competidores como Palo Alto Networks o Check Point, que llevan años apostando por arquitecturas de seguridad integradas. La pregunta que queda en el aire es si este ataque servirá como catalizador para que los reguladores europeos exijan mayores garantías de cifrado y trazabilidad en los dispositivos de red críticos.

Mientras tanto, el mercado observa. La confianza que las grandes corporaciones depositan en sus proveedores de infraestructura no se reconstruye con un parche, sino con años de transparencia operativa. Y en 2026, la paciencia de los comités de seguridad es cada vez más corta.

ArtĂ­culo anterior
Protestas contra Vox en Granada: investigan a seis activistas y la APDHA denuncia parcialidad
Publicidad
Publicidad