FortiBleed: 86.644 Firewalls Fortinet Comprometidos 2026

FortiBleed - firewalls Fortinet comprometidos por robo de credenciales

FortiBleed es la mayor campaña de compromiso de credenciales contra firewalls Fortinet conocida hasta la fecha: en junio de 2026 se confirmó que atacantes habían obtenido acceso administrativo a decenas de miles de dispositivos FortiGate expuestos a Internet en 194 países. No se trata de un fallo de día cero nuevo, sino del robo masivo de contraseñas almacenadas con un cifrado heredado y débil. En este artículo explicamos qué ocurrió, por qué fue posible y cómo protegerte.

Resumen del incidente:

  • Qué: robo y crackeo masivo de credenciales de administrador y VPN de firewalls FortiGate.
  • Alcance: hasta 86.644 dispositivos afectados en 194 países (cerca del 50 % de los FortiGate expuestos a Internet).
  • Causa: contraseñas almacenadas con hashes SHA-256 heredados, vulnerables a crackeo por GPU.
  • Acción urgente: rotar credenciales, forzar PBKDF2, activar MFA y sacar la gestión de Internet.

¿Qué es FortiBleed y por qué es tan grave?

FortiBleed es el nombre que la Unidad de Investigación de Amenazas de SOCRadar (STRU) dio a una campaña activa de compromiso de credenciales que afecta a los firewalls FortiGate de Fortinet. Los atacantes extraen los ficheros de configuración de dispositivos accesibles desde Internet y crackean los hashes de contraseñas almacenados, obteniendo credenciales de administrador válidas y funcionales a gran escala.

La gravedad del incidente reside en tres factores combinados. Primero, su escala: es el mayor incidente relacionado con Fortinet por número de dispositivos de toda la historia de la compañía. Segundo, el tipo de activo comprometido: un firewall perimetral es la puerta de entrada a la red corporativa, por lo que unas credenciales de administrador filtradas permiten al atacante reconfigurar reglas, abrir túneles VPN o desplegar movimiento lateral. Tercero, su carácter silencioso: al usar credenciales legítimas, gran parte de la actividad pasa desapercibida para las defensas tradicionales.

El primer indicio fue el descubrimiento, por parte del investigador Volodymyr «Bob» Diachenko, de un servidor expuesto que albergaba el botín de credenciales. A partir de ahí, SOCRadar analizó la operación completa y publicó sus hallazgos a mediados de junio de 2026, seguida por boletines de Arctic Wolf y Bitsight, entre otros.


Cómo funciona el ataque FortiBleed: hashes SHA-256 y crackeo por GPU

El núcleo técnico de FortiBleed está en cómo FortiOS almacena las contraseñas de administrador. Fortinet introdujo el hashing basado en PBKDF2 en las versiones de FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo heredado basado en SHA-256 con sal. El problema aparece al actualizar desde versiones anteriores.

Cuando un equipo se actualiza, las contraseñas existentes siguen almacenadas como hashes SHA-256 hasta que cada administrador inicia sesión por primera vez tras la actualización. Es decir, muchas organizaciones que creían estar al día seguían guardando sus credenciales con el algoritmo antiguo. Y SHA-256, aunque robusto para integridad, es relativamente rápido de calcular, lo que lo hace susceptible al crackeo acelerado por GPU.

El flujo del ataque combina varias técnicas encadenadas, según el análisis de los investigadores:

  • Reutilización de credenciales procedentes de filtraciones previas de Fortinet, probadas contra dispositivos expuestos.
  • Extracción de ficheros de configuración de los FortiGate accesibles desde Internet.
  • Crackeo por GPU de los hashes SHA-256 recuperados, usando infraestructura dedicada.
  • Recolección pasiva de credenciales del tráfico SSL VPN dentro de los equipos ya comprometidos, que se reinyectan en los escáneres.

El resultado es un mercado de credenciales válidas que alimenta nuevos accesos. Por eso los investigadores insisten en que FortiBleed es, ante todo, una campaña de reutilización y robo de credenciales, no la explotación de una vulnerabilidad inédita.

Alcance real: 86.644 firewalls Fortinet afectados por FortiBleed

Las cifras varían según la fuente y la metodología, pero todas dibujan un incidente sin precedentes. SOCRadar cifra en 86.644 los dispositivos FortiGate comprometidos, repartidos en 194 países, con más de 80.000 direcciones IP únicas y 22.405 dominios afectados. Arctic Wolf ofrece una horquilla más conservadora de 30.000 a 75.000 equipos, y el analista Kevin Beaumont estimó que el alcance equivale aproximadamente a la mitad de los FortiGate expuestos a Internet.

IndicadorDato (junio 2026)
Dispositivos comprometidos30.000 – 86.644 (según fuente)
Países afectados194
Direcciones IP únicas80.000+
Dominios afectados22.405
Actividad detectada desdeAl menos febrero de 2026

Conviene entender que la campaña no fue un suceso puntual: la actividad asociada a esta campaña se rastrea al menos desde febrero de 2026 y se aceleró durante la primera mitad del año, solapándose con otras operaciones contra dispositivos Fortinet. Si gestionas un FortiGate accesible desde Internet, debes asumir que pudo estar en el punto de mira.


¿Es FortiBleed una vulnerabilidad nueva? Relación con CVE-2026-24858

Una de las confusiones más extendidas es tratar FortiBleed como si fuera un CVE. No lo es. Los investigadores subrayan que se trata principalmente de una campaña de compromiso de credenciales, no de la explotación de un día cero. Dicho esto, en un subconjunto de casos el acceso inicial pudo apoyarse en vulnerabilidades ya conocidas de Fortinet.

La más relevante es CVE-2026-24858, un bypass de autenticación SAML en el SSO de FortiCloud con una puntuación CVSS de hasta 9.8, divulgado en enero de 2026 e incluido en el catálogo KEV de CISA. Ya analizamos ese fallo en detalle en nuestro artículo sobre Fortinet FortiOS CVE-2026-24858 explotado activamente, y entender su funcionamiento ayuda a dimensionar cómo los atacantes encadenaron accesos. También recomendamos repasar el bypass previo en FortiGate y la vulnerabilidad de FortiClient EMS, que completan el panorama de presión sostenida sobre el ecosistema Fortinet.

La lección de FortiBleed es que la higiene de credenciales importa tanto como el parcheo: puedes tener el firmware al día y aun así quedar expuesto si tus contraseñas siguen guardadas con un algoritmo débil o se reutilizaron tras una filtración anterior.

Cómo protegerse de FortiBleed: medidas de mitigación

Frente a esta amenaza, la respuesta debe asumir que las credenciales pueden estar ya comprometidas. Estas son las medidas defensivas prioritarias, alineadas con las recomendaciones de Fortinet, Arctic Wolf y SOCRadar:

  • Rota de inmediato todas las contraseñas de administrador y de cuentas VPN, sin reutilizar valores anteriores.
  • Fuerza el hashing PBKDF2: tras actualizar FortiOS, haz que cada administrador inicie sesión para que su contraseña deje de guardarse como SHA-256.
  • En FortiOS 7.2.x y 7.4.x, activa el ajuste login-lockout-upon-weaker-encryption para eliminar los hashes SHA-256 de los campos de contraseña antigua.
  • Activa la autenticación multifactor (MFA) en todas las cuentas administrativas y de acceso remoto.
  • Saca la interfaz de gestión de Internet: restríngela a redes internas de confianza o tras una VPN dedicada.
  • Mantén el firmware actualizado a las versiones que incorporan PBKDF2 por defecto.
  • Revisa el historial de inicios de sesión en busca de accesos sospechosos y activa respuesta a incidentes si tu organización aparece en los conjuntos de datos publicados.

⚠️ Advertencia

Este artículo tiene fines exclusivamente informativos y defensivos. Cambiar una contraseña no basta si el dispositivo ya estaba comprometido: un atacante con acceso previo puede haber creado cuentas, claves API o reglas persistentes. Ante cualquier sospecha de compromiso, trata el firewall como contaminado, aísla, audita la configuración completa y contacta con tu equipo de respuesta a incidentes.

Indicadores y detección tras FortiBleed

Como FortiBleed se apoya en credenciales legítimas, la detección se centra en anomalías de comportamiento más que en firmas de exploit. Algunas señales a vigilar:

  • Inicios de sesión administrativos desde geolocalizaciones o IP inusuales.
  • Creación de nuevas cuentas de administrador o claves API no reconocidas.
  • Cambios en reglas de cortafuegos, rutas o configuración VPN fuera de ventanas de mantenimiento.
  • Conexiones SSL VPN con patrones de origen anómalos.

Correlaciona estos eventos en tu SIEM y compara la exposición de tu organización con los datos publicados por los investigadores. Si necesitas reforzar la monitorización de tus servicios y recibir alertas tempranas, te puede interesar nuestra categoría de noticias de vulnerabilidades, donde damos seguimiento a este tipo de campañas.

Conclusión

FortiBleed no introduce un fallo nuevo, pero demuestra cómo una decisión de almacenamiento de contraseñas heredada puede convertirse en una brecha global cuando se combina con dispositivos expuestos y credenciales reutilizadas. La defensa pasa por asumir el compromiso, rotar credenciales, forzar PBKDF2, activar MFA y retirar la gestión de Internet. En seguridad perimetral, la higiene de credenciales es tan crítica como el parche más urgente.

Preguntas frecuentes sobre FortiBleed

¿FortiBleed es un CVE o una vulnerabilidad de día cero?

No. FortiBleed es una campaña de compromiso de credenciales, no un día cero. Se basa en el crackeo de hashes SHA-256 heredados y en la reutilización de credenciales filtradas, aunque en algunos casos el acceso inicial pudo apoyarse en fallos conocidos como CVE-2026-24858.

¿Mi FortiGate está afectado si tengo el firmware actualizado?

Puede estarlo. Tras actualizar a una versión con PBKDF2, las contraseñas siguen como SHA-256 hasta que cada administrador inicia sesión de nuevo. Hasta ese momento, el hash antiguo permanece y es crackeable.

¿Qué debo hacer primero ante FortiBleed?

Rota todas las credenciales de administrador y VPN, fuerza el inicio de sesión para aplicar PBKDF2, activa MFA y retira la interfaz de gestión de Internet. Después, revisa los registros en busca de accesos no autorizados.

¿Cuántos dispositivos se vieron afectados por FortiBleed?

Las estimaciones oscilan entre 30.000 y 86.644 firewalls FortiGate en 194 países, según la fuente, lo que lo convierte en el mayor incidente de Fortinet por número de dispositivos.

Fuentes

Incidente divulgado a mediados de junio de 2026. Fuentes consultadas:

Avatar

Por Mid

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
0
Would love your thoughts, please comment.x
()
x