FortiBleed ha expuesto las credenciales de más de 430.000 firewalls FortiGate en todo el mundo, y la investigación de SOCRadar que he revisado esta semana no deja lugar a dudas: un mismo operador maneja el acceso a esas credenciales y las mesas de negociación de los ransomware INC Ransom y Lynx. La campaña, que la unidad de investigación de amenazas de SOCRadar bautizó como FortiBleed, ha derivado en al menos 12 despliegues de ransomware confirmados en 150 países.
Un husmeador pasivo: FortigateSniffer escucha sin tocar el firewall
El tradecraft digital que hay detrás merece una lectura técnica. FortiBleed no inyecta cargas maliciosas contra el dispositivo FortiGate; se apoya en FortiOS, concretamente en su comando interno de diagnóstico de paquetes, para interceptar tráfico de autenticación de forma pasiva. Con una herramienta hecha a medida en Go —FortigateSniffer— el atacante escucha dos decenas de protocolos y recoge credenciales sin enviar un solo payload. Es la clase de SIGINT de bajo perfil que más cuesta detectar.
El atacante no explota una vulnerabilidad de día cero: abusa de una funcionalidad legítima del sistema operativo de los firewalls. La técnica lleva activa más de un año y SOCRadar ha documentado servidores de sniffing adicionales —alrededor de 200 más— que no habían aparecido en la primera investigación. Con Shodan, Censys y Validin, el equipo cartografió el alcance real: unos 11.250 portales FortiGate escaneados, con acceso de administrador confirmado en 409 de ellos.
Le adelanto que la cifra asusta. No estamos ante un access broker que revende credenciales en foros clandestinos y luego se desentiende. Aquí mismo operador controla la llave de entrada y la mesa de rescate.
De la credencial al control total de dominio en 354 organizaciones
La brecha no se limitó a robar contraseñas. En 354 de esos 409 objetivos con acceso de administrador, el actor completó la cadena de ataque completa: comprometió la VPN, llegó al controlador de dominio y obtuvo privilegios de administrador de dominio. Usted puede imaginarse lo que eso significa: control total sobre la identidad y los sistemas de la organización. SOCRadar confirma que al menos una docena de esos accesos se transformó en despliegues de ransomware, con cientos de equipos cifrados.
La prueba que convierte la sospecha en atribución llegó gracias a un fallo de seguridad operativa del propio grupo. Uno de los servidores recién descubiertos por SOCRadar exponía archivos internos, registros y documentación operativa. Dentro de ese entorno, los investigadores vieron a un operador conectado simultáneamente a los paneles de negociación de INC Ransom y Lynx. Dos marcas, un único actor. La coincidencia no es circunstancial.

Un documento interno de seguimiento encontrado en la infraestructura del grupo muestra cómo trabajan: qué credenciales usaron, qué redes comprometieron y si finalmente desplegaron ransomware. La estructura apunta a un equipo de unas veinte personas, con un núcleo reducido de operadores principales, especialistas dedicados y un escalón de soporte técnico con perfiles más junior. Funciona como una pequeña empresa, salvo que el producto que vende es extorsión cifrada.
La misma infraestructura que interceptó tráfico de autenticación en cientos de miles de firewalls está conectada, mediante un operador compartido, a dos de las marcas de ransomware más activas hoy.
Dossier Moncloa: Ojos en la Sombra
Cuando una campaña de robo de credenciales escala hasta el despliegue masivo de ransomware, el vector de amenaza combina dos vectores: la inteligencia de señales pasiva sobre infraestructuras críticas y la monetización directa mediante extorsión. En el caso de FortiBleed, la amenaza no es un Estado —al menos no directamente—, sino un grupo criminal con un nivel de organización casi corporativo.
El modus operandi recuerda a la evolución de los grupos APT de inspiración estatal hacia el crimen como servicio (Ransomware-as-a-Service), algo que ya documentamos en esta redacción con casos como Conti o LockBit. La diferencia aquí es la capilaridad: 430.000 firewalls afectados significan que cualquier empresa mediana que use FortiGate —y se cuentan por miles en España— ha podido quedar expuesta. No es especulación: SOCRadar ha confirmado al menos 12 ataques de ransomware cuya vía de entrada fueron las credenciales robadas por FortiBleed.
Las agencias implicadas son, en el lado atacante, el grupo criminal tras INC Ransom y Lynx —dos fachadas de una misma actividad—; en el lado defensor, las organizaciones víctimas y los equipos de respuesta como SOCRadar. El CNI, a través del CCN-CERT, monitoriza este tipo de campañas porque los firewalls comprometidos pueden pertenecer a entidades del sector público español. De hecho, fuentes del Centro Criptológico Nacional consultadas por este medio confirman que se ha emitido una alerta interna para que los organismos verifiquen sus registros de FortiGate. Por ahora, no consta que ninguna administración española figure entre los 409 blancos con acceso de administrador, pero la investigación sigue abierta.
A juzgar por el material expuesto, estimo que la información comprometida en los firewalls tenía un nivel de clasificación meramente sensible —sin marca de secreto oficial—, pero en manos equivocadas equivale al equivalente digital de tener un juego de llaves del castillo. La lección operativa es clara: una herramienta de diagnóstico no hostil puede convertirse en un dead drop digital si no se monitoriza su abuso.
El precedente histórico que me viene a la mente es el caso de la vulnerabilidad CVE-2018-13379 en FortiOS, explotada por APT chinos y rusos para robar credenciales de VPN en 2019. Aquello parecía un problema puntual; FortiBleed demuestra que el ecosistema de firewalls sigue siendo el camino más silencioso hacia el dominio de una red.
Lo que veo aquí es una operación criminal que ha profesionalizado el abuso de una funcionalidad legítima hasta convertirla en un embudo de extorsión. La coordinación entre el robo de credenciales y el panel de rescate es la prueba definitiva de que la línea entre el acceso inicial y el ransomware es cada vez más fina. Espero el informe técnico completo de SOCRadar —que incluirá indicadores de compromiso y posiblemente un zero-day en vías de divulgación responsable— para saber hasta qué punto este grupo puede escalar.

