La agencia de ciberseguridad estadounidense CISA confirmó el 18 de junio la explotación activa de credenciales filtradas de aproximadamente 74.000 dispositivos Fortinet en una campaña bautizada como FortiBleed. El aviso es de urgencia: los atacantes llevan semanas usando esas credenciales en texto plano para acceder a firewalls y pasarelas VPN de gobiernos y empresas de todo el mundo. El botín incluye a un contratista de defensa de la OTAN en Turquía del que se habrían sustraído documentos clasificados.
El hallazgo inicial lo hizo el investigador Bob Diachenko, que encontró un servidor abierto con el volcado de credenciales de decenas de miles de organizaciones. En el dataset aparecían nombres de usuario, correos electrónicos y contraseñas en claro, junto con IPs de los dispositivos. Diachenko avisó en LinkedIn y la comunidad de seguridad se revolvió. En el listado figuraban, según capturas compartidas por él, 21.634 dominios de todo tipo, desde Chevron hasta el propio Fortinet.
Kevin Beaumont, una de las voces más respetadas en seguridad de redes, obtuvo el dataset completo y lo cruzó con Hudson Rock. La conclusión fue demoledora: los datos eran auténticos, afectaban a unos 75.000 equipos y la práctica totalidad seguía online. “Beaumont verificó personalmente las credenciales en varias organizaciones y funcionaban”, reflejó su análisis. El origen del material, esta vez, no era un antiguo zero-day, como en la filtración del Grupo Belsen de 2025 que afectó a 15.000 dispositivos. Esta hornada es reciente, apunta a configuraciones exportadas directamente desde los equipos y cubre, según Shodan, cerca de la mitad de todos los firewalls Fortinet expuestos a internet en ese momento.
El descubrimiento accidental y la confirmación independiente
El método de obtención es otra historia. Los atacantes dejaron olvidado un directorio abierto con sus propias herramientas, scripts, cadenas de conexión, logs y analíticas. Diachenko metió la nariz y encontró un grupo multioperador, de habla rusa, que había lanzado aproximadamente 1.160 millones de intentos de credenciales contra 320.777 dispositivos FortiGate, más otros 2.100 millones contra 163.650 servidores Microsoft SQL Server. El trabajo sucio incluía la interceptación de hashes de autenticación de las VPN SSL y su crackeo con un clúster de 45 GPUs gestionado a través de Hashtopolis. Las contraseñas convertidas a texto plano permitían acceder a la red, modificar la configuración de seguridad y crear cuentas de administrador ocultas.
El dato más inquietante es la capa de inteligencia comercial añadida al dataset. Cada entrada viene catalogada con el sector industrial, los ingresos, el número de empleados y el país de la organización. Es el formato típico de los mercados criminales cuando venden acceso inicial. No se ensambló para uso propio; se preparó para la venta o para un despliegue coordinado entre varios actores.
CISA reaccionó con instrucciones quirúrgicas. Terminar de inmediato todas las sesiones VPN y administrativas activas, reiniciar cada contraseña, habilitar autenticación multifactor resistente al phishing, revisar los logs en busca de movimientos laterales y actualizar a la última versión de FortiOS. Además, obligar a cada administrador a volver a iniciar sesión para que el sistema re-hash las credenciales almacenadas con PBKDF2, el algoritmo seguro que Fortinet empezó a implantar en los firmwares de 2025 pero que muchos equipos aún no aplicaban por falta de relogin.
FortiBleed no es un simple vertedero: es un catálogo de venta con 74.000 entradas listas para ser explotadas, sector a sector y país a país.
La anatomía de FortiBleed: la campaña más agresiva documentada
He visto muchas filtraciones, pero el salto cuantitativo y cualitativo de FortiBleed me obliga a detenerme. No estamos ante un volcado masivo cualquiera, ni ante la basura de un ataque oportunista. Los investigadores hallaron que varios centros de datos de organizaciones de Japón, Taiwán, Vietnam, Irak y Turquía figuraban como completamente comprometidos. En el caso turco, el contratista de la OTAN afectado habría perdido documentos clasificados, según el análisis publicado por Diachenko y refrendado por Beaumont. Si usted maneja una infraestructura crítica y todavía duda, le adelanto que el 50% de los dispositivos expuestos tenían la interfaz de gestión de FortiOS accesible desde internet, una temeridad que viene repitiéndose año tras año.
El modus operandi revela un equipo profesionalizado, con capacidad para explotar las configuraciones exportadas y aprovechar la debilidad de los hashes SHA-256 con sal, aún muy comunes en despliegues sin el último parche. Las 45 GPUs trabajaron en paralelo para romper el cifrado y convertir cada hash en una contraseña utilizable. El grupo no se quedó en Fortinet: los 2.100 millones de intentos contra SQL Server muestran una operación en toda regla, no un script kiddie jugando.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es claro: un ciberataque de filtración de credenciales masivas que dio paso a una campaña de explotación activa contra pasarelas VPN y firewalls. El material expuesto permite a cualquier atacante con acceso a la lista controlar remotamente la seguridad perimetral de las organizaciones afectadas, modificar reglas de firewall, crear puertas traseras y moverse lateralmente hacia sistemas internos. En este oficio lo llamamos initial access avecindado: la puerta ya no se rompe, se cruza con las llaves originales.
Las agencias implicadas se reparten en tres planos. Atacante: un grupo de habla rusa con infraestructura propia, clúster GPU y herramientas de crackeo, que cazó credenciales y las empaquetó para su venta. No hay atribución estatal confirmada, pero la sofisticación técnica, el formato de inteligencia comercial del dataset y el interés por contratistas de defensa OTAN apuntan, como mínimo, a un actor con vínculos tolerados por el Estado. Defensora: CISA, con su alerta del 18 de junio, y Fortinet, con las instrucciones de mitigación. Observadores: el CNI y el CCN-CERT monitorizan desde Madrid, como cada vez que una campaña global compromete infraestructuras críticas europeas. Y créame, ya advertí en El quinto elemento que “en España hay 8.000 infraestructuras críticas y atacables a través de internet”. Aquella frase de 2015 sigue sin perder vigencia.
El precedente histórico más cercano es la filtración del Grupo Belsen en 2025, que afectó a unos 15.000 dispositivos Fortinet a partir de un zero-day de 2022. Aquel caso se quedó pequeño comparado con FortiBleed. La diferencia radica en que ahora no se explotó una vulnerabilidad puntual; se recolectaron configuraciones completas, lo que sugiere acceso previo al dispositivo, probablemente a través de credenciales débiles o de alguna de las múltiples CVE documentadas de Fortinet. A juzgar por la naturaleza del material que pudo ser sustraído del contratista turco, estimo que el nivel de clasificación comprometido podría alcanzar el grado de Secreto, aunque la cautela obliga a ser prudentes hasta que la OTAN o el propio gobierno turco se pronuncien.
La lectura editorial es esta: FortiBleed nos recuerda que el eslabón más débil sigue siendo la interfaz de administración expuesta y el hash de contraseña anticuado. En mi opinión, la alerta de CISA es correcta pero llega tarde para los miles de organizaciones que ya eran meras entradas en un catálogo de venta. El riesgo para el flanco sur de la OTAN –España incluida– es real, aunque el CNI no suelte prenda. Según me consta, el CCN-CERT ha reforzado la monitorización de los equipos Fortinet en la Administración, pero el verdadero termómetro será el próximo informe de Mandiant o Citizen Lab sobre la actividad post-explotación. Si usted gestiona una VPN Fortigate sin MFA resistente al phishing, hágame caso: no espere a leerlo en otro dossier. Apague ya la interfaz pública.
