FortiBleed crece: 86.644 firewalls Fortinet con credenciales válidas en 194 países, CISA emite alerta

En una semana, la cuenta oficial subió de 73.932 a 86.644 dispositivos Fortinet comprometidos. Lo que el investigador Volodymyr "Bob" Diachenko descubrió como un servidor expuesto el 13 de junio se convirtió, según la última actualización de SOCRadar publicada el viernes, en la mayor recopilación de credenciales administrativas de equipos de perímetro ya documentada. La campaña, apodada FortiBleed, ya fue objeto de alerta de la CISA el 18 de junio y de orientación pública del NCSC británico el mismo día.

La base contiene credenciales de SSL VPN y administración de FortiGate en 194 países y 21.632 dominios únicos, lo que corresponde, según la estimación de Arctic Wolf, a aproximadamente la mitad de todos los firewalls Fortinet accesibles por internet. La operación detrás de ella es atribuida a un actor de habla rusa que usó infraestructura con 45 GPUs para romper hashes offline a escala industrial, transformando datos de configuración expuestos en credenciales válidas testeables por credential stuffing.

Quién aparece en los datos

Entre los dominios identificados están Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, Toyota, Oracle, Siemens, Lenovo y DHL. La lista incluye además firmas globales de servicios como Accenture, PwC e Infosys, así como agencias gubernamentales y operadores de infraestructura crítica en al menos siete países. Ninguna de estas compañías ha confirmado públicamente compromiso hasta el cierre de este artículo, y la metodología de la exposición involucra credenciales válidas en el momento de la recopilación, no necesariamente acceso post-rotación.

El mensaje de la CISA en la ficha técnica es directo: cerrar sesiones activas, redefinir todas las credenciales administrativas, garantizar el uso de PBKDF2 para el almacenamiento de las contraseñas, activar MFA resistente a phishing y sacar la interfaz de administración de internet siempre que sea posible. "No se puede tratar esto como un IOC puntual. Cada cliente Fortinet necesita partir del supuesto de que está en la lista hasta que pruebe lo contrario", dijo Brian Bates, vicepresidente de producto de Bitsight, en un comentario reproducido por Computing.

La geografía del problema, más allá de EE.UU.

El Reino Unido emitió un alerta paralelo por el NCSC dada la concentración de FortiGate en redes del sector público británico, especialmente en councils locales y prestadoras del NHS, que usan el equipo como puerta de entrada VPN para el régimen de trabajo híbrido. Alemania caerá bajo NIS2 desde octubre de 2025, y las operadoras de infraestructura crítica que descubran compromiso ahora necesitan notificar al BSI en 24 horas, bajo riesgo de multas que pueden alcanzar el 2% de la facturación global.

En Japón, donde MUFG y Mizuho subcontratan parte de la operación de borde a integradores que estandarizaron FortiGate, la exposición se traduce en riesgo de movimiento lateral en la red bancaria justo en el momento en que los tres megabancos finalizan proyectos de IA generativa con Anthropic. En Brasil, donde Itaú, Bradesco y Nubank operan pilas mixtas Fortinet y Palo Alto, la lectura para el CISO es que el activo de riesgo más peligroso no es el firewall en sí, sino lo que él protege: la confianza implícita de las integraciones corporativas que asumen el túnel VPN como zona confiable.

Por qué esto es diferente a las olas anteriores

Fortinet ya enfrentó divulgaciones relevantes en 2022 (CVE-2022-40684, 87 mil credenciales filtradas) y 2024 (CVE-2024-21762). La diferencia de FortiBleed radica en tres puntos. Primero, no se trata de una vulnerabilidad nueva, sino de la explotación masiva de configuraciones ya existentes con cracking offline industrial, modelo que difiere del exploit de N-day clásico. Segundo, el actor mantuvo la infraestructura activa durante meses antes del descubrimiento, ampliando el universo de credenciales válidas. Tercero, la divulgación expone una fragilidad estructural del mercado: empresas con SOC maduro y patching al día fueron comprometidas por la combinación de PBKDF2 con iteración baja y exposición del management plane.

La pregunta de Mariano Núñez, CEO de Onapp, en el panel de Infosecurity Magazine el 19 de junio, sintetiza lo que está en juego: ¿cómo una empresa de seguridad rota el secreto administrativo de 86 mil dispositivos sin dejar una ventana operacional abierta? El costo de la respuesta se medirá en meses, no días. Y todavía no ha sido fijado por los consejos.