CISA ha emitido una alerta de máxima prioridad tras la campaña FortiBleed: credenciales de más de 73.000 cortafuegos Fortinet expuestas y utilizadas por actores rusos para infiltrar redes gubernamentales y privadas. La agencia de ciberseguridad estadounidense exige a todos los propietarios de dispositivos FortiGate que apliquen los parches y refuercen sus accesos antes del domingo 21 de junio.
Le adelanto una cifra que conviene retener: 1.160 millones de intentos de autenticación. Eso es lo que el grupo rusohablante responsable de FortiBleed lanzó contra más de 320.000 objetivos FortiGate para interceptar hashes de autenticación SSL VPN. El dato procede del investigador Volodymyr Diachenko, que destapó la filtración.
El botín expuesto incluye nombres de usuario, direcciones de correo electrónico y contraseñas en texto plano de 73.932 firewalls de todo el mundo, según la nota de emergencia de CISA. La base de datos contenía además el sector industrial, los ingresos y el número de empleados de cada organización —una guía de selección de víctimas para futuros ataques—.
La lista de afectados quita el hipo. Entre las 21.632 compañías con dominios únicos figuran Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T y Toyota, junto a decenas de organismos gubernamentales y operadores de infraestructuras críticas en telecomunicaciones, sanidad, finanzas y manufactura. India, Estados Unidos, Taiwán, México y Turquía encabezan el recuento de dispositivos comprometidos.
Kevin Beaumont, experto en ciberseguridad que ha validado de forma independiente parte del material, lo resumió con crudeza: “Los datos son auténticos. Son unos 75.000 dispositivos, casi todos aún en línea y de Fortinet. Parecen recientes.”
Más de 73.000 firewalls con las llaves en el felpudo y los actores rusos ya han hecho copia.
Anatomía del ataque: credenciales saqueadas y hashes de VPN interceptados
El tradecraft de FortiBleed no es un exploit de día cero recién estrenado. Por ahora todo apunta a que el grupo recopiló configuraciones de dispositivos Fortinet —probablemente mediante la explotación de vulnerabilidades ya conocidas o a través de accesos mal protegidos— y sustrajo los hashes de las sesiones SSL VPN para romperlos sin activar alarmas. CISA mantiene bajo vigilancia 26 fallos de seguridad de Fortinet explotados en entorno real; trece de ellos han sido abusados en ataques de ransomware.
La empresa Hudson Rock, que analizó el conjunto de datos, ha definido el caso como “una de las mayores colecciones conocidas de credenciales Fortinet comprometidas”. Abarca 194 países y cualquier atacante con esa información puede saltar de un simple acceso VPN al control completo de la red corporativa mediante movimientos laterales.
No se equivoque conmigo: FortiBleed no es una brecha puntual sino la munición perfecta para una campaña de ciberespionaje a escala planetaria. La combinación de credenciales en claro y el perfilado industrial de las víctimas delata un trabajo de inteligencia, no un simple scrapping oportunista.
El historial ruso contra Fortinet y la respuesta urgente de CISA
Los actores vinculados al GRU y al SVR llevan años cebándose con las puertas de entrada VPN mal protegidas. En 2018, la vulnerabilidad CVE-2018-13379 en FortiOS fue utilizada por APT29 (Cozy Bear) para robar credenciales y acceder a redes de gobiernos europeos. En 2021, el FBI y CISA ya advirtieron de que los rusos estaban explotando fallos en Fortinet para moverse lateralmente dentro de infraestructuras OT.
Ahora, la misma receta se repite con una base de datos de proporciones industriales. CISA recomienda cerrar todas las sesiones SSL VPN y administrativas activas, restablecer contraseñas de acceso y VPN, habilitar la autenticación multifactor resistente al phishing y revisar los registros en busca de accesos no autorizados. También ordena guardar las credenciales con el algoritmo de hashing PBKDF2 y prohibir el acceso externo a las interfaces de gestión.
He escrito en alguna ocasión que el próximo 11S empezará con un clic, y la campaña FortiBleed reúne todos los ingredientes para ser el preludio silencioso de un incidente mucho más destructivo. Los tiempos de parche se miden en horas, no en días.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza en FortiBleed es claro: ciberataque de sigint masivo mediante recolección de credenciales e interceptación de hashes de autenticación. No hay exfiltración de documentos clasificados, pero la exposición de configuraciones de red y el perfilado de las víctimas sitúa esta campaña en la antesala de operaciones de sabotaje o espionaje dirigido de alto nivel.
Las agencias implicadas dibujan un triángulo sobradamente conocido. Del lado atacante, un colectivo rusohablante con disciplina casi castrense, probablemente bajo cobertura de un servicio de inteligencia militar o civil; la comunidad de threat intel aún no ha asignado un nombre APT específico, pero la escala y la meticulosidad remiten al catálogo de unidades 26165 y 74455 del GRU. Del lado defensor, CISA ocupa la primera línea, secundada por los equipos de respuesta de Fortinet y los operadores privados afectados. Y en la sombra, el CNI a través del CCN-CERT monitoriza desde hace años las mismas superficies de ataque en España: el año pasado cerró 23 incidentes graves en arquitecturas Fortinet de la administración periférica.
A juzgar por la naturaleza del material expuesto, estimo un nivel de clasificación Sin Clasificar pero Sensible. No hay secretos de estado comprometidos, pero la información agregada sobre quién opera qué dispositivo y con qué contraseña constituye un mapa de inteligencia operativa que cualquier Estado mayor leería con avidez.
El precedente que me viene a la mente es la campaña NotPetya de 2017, atribuida al GRU. Entonces, un software de contabilidad ucraniano fue el trampolín; ahora podrían serlo 73.000 firewalls de todos los continentes. La diferencia es que en 2017 algunos creían que las ciberarmas solo se usaban en conflictos regionales; hoy sabemos que son herramientas de política exterior permanente.
El plazo que CISA ha fijado para el domingo 21 de junio es más político que técnico: envía un mensaje de urgencia a las juntas directivas que aún tratan la ciberseguridad como un gasto de back office. El verdadero riesgo no son las credenciales ya filtradas, sino las backdoors que los atacantes hayan podido dejar en las redes que ya han visitado sin ser detectados. De hecho, la compañía Defused ha documentado esta misma semana que varias vulnerabilidades críticas de FortiSandbox ya están siendo explotadas activamente.
Por mi experiencia, este tipo de filtraciones rara vez se contienen en el perímetro de una sola empresa. El CNI y el CCN-CERT harían bien en repasar ahora —no la semana que viene— cuántos de esos firewalls están conectados a la Red SARA o gestionan accesos a infraestructuras críticas españolas. Porque si la historia enseña algo, es que el adversario ya ha hecho la misma lista.
