Mas de 86.000 credenciales de cortafuegos y puertas de enlace VPN Fortinet FortiGate han sido expuestas en una campana de ataque a gran escala que los investigadores denominan FortiBleed. Descubierta en junio de 2026, la operacion produjo una base de datos verificada con mas de 86.644 credenciales de inicio de sesion confirmadas y funcionales, recopiladas de infraestructura Fortinet accesible desde internet en 194 paises. La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) emitio una alerta de emergencia el 18 de junio de 2026. Para las organizaciones que dependen de FortiGate VPN para el acceso remoto, la ventana de respuesta antes de que los atacantes penetren mas profundamente en las redes corporativas es estrecha.
Que es FortiBleed y que no es
FortiBleed no es una unica vulnerabilidad recien descubierta. Es una campana operativa que combino tres metodos de ataque: reutilizacion de credenciales de violaciones de datos anteriores, descifrado de hashes SHA-256 utilizando un cluster de calculo de 45 GPU y ataques de fuerza bruta a gran escala. Los investigadores que siguen la operacion estiman que los atacantes realizaron aproximadamente 1.160 millones de intentos de credenciales contra 320.777 objetivos FortiGate accesibles desde internet antes de ensamblar el conjunto de datos verificado.
Segun los investigadores, la operacion fue llevada a cabo por un grupo de amenazas multioperador de habla rusa. La presencia de herramientas de tunelizacion asociadas con estados - especificamente Chisel y Neo-reGeorg - en la actividad de explotacion relacionada sugiere que el pool de credenciales no es utilizado exclusivamente por delincuentes de bajo nivel. Actores de amenazas sofisticados y bien dotados de recursos tambien acceden al mismo conjunto de datos para llevar a cabo intrusiones dirigidas contra redes gubernamentales e infraestructuras criticas.
Los datos filtrados, que incluyen credenciales de administrador e informacion de configuracion VPN, circulan presuntamente en comunidades clandestinas criminales. Dado que los dispositivos FortiGate sirven como puerta de enlace perimetral para las redes corporativas, las credenciales comprometidas otorgan a los atacantes acceso autenticado a los sistemas internos, sin necesidad de explotar ninguna vulnerabilidad adicional una vez dentro.
Escala: la mitad de todos los dispositivos FortiGate accesibles desde internet
Investigadores de seguridad independientes que compararon el conjunto de datos FortiBleed con datos de Shodan estiman que las credenciales expuestas cubren aproximadamente el 50 por ciento de todos los dispositivos cortafuegos Fortinet actualmente accesibles desde internet. Los 86.644 sistemas afectados estan distribuidos en 194 paises, incluyendo redes de agencias gubernamentales, organizaciones sanitarias, instituciones financieras y operadores de infraestructuras criticas.
Informes anteriores de BleepingComputer y Help Net Security situaron el recuento inicial en unos 73.000 dispositivos basandose en el analisis temprano del conjunto de datos. La verificacion posterior por equipos de seguridad adicionales, incluyendo el aviso tecnico de Bitdefender, confirmo la cifra mayor de mas de 86.000. La discrepancia refleja el trabajo de deduplicacion en curso mientras los investigadores contrastan multiples fuentes de los datos en circulacion.
Por que FortiGate VPN es un objetivo de alto valor
Los dispositivos FortiGate se encuentran entre los dispositivos de seguridad perimetral mas ampliamente desplegados en entornos empresariales a nivel mundial. Muchas organizaciones los configuran como puerta de enlace SSL VPN principal para el acceso de empleados remotos, haciendolos intencionalmente accesibles desde internet. Esta accesibilidad es operativamente necesaria, pero tambien significa que estos dispositivos enfrentan la fuerza total del escaneo automatizado y las pruebas de credenciales a gran escala.
La combinacion de una gran superficie de ataque, la prevalencia de credenciales predeterminadas o reutilizadas y el alto valor de lo que se encuentra detras de un FortiGate comprometido hace de la infraestructura Fortinet un objetivo prioritario constante para los actores de amenazas organizados. FortiBleed no es la primera campana masiva de compromiso de credenciales dirigida a dispositivos Fortinet: una filtracion similar a principios de 2024 expuso credenciales de aproximadamente 15.000 sistemas FortiGate utilizando la misma metodologia de reutilizacion y fuerza bruta.
La orientacion de emergencia de CISA
La alerta de CISA del 18 de junio indica que la agencia es consciente de los informes globales de que actores cibermaliciosos han atacado dispositivos Fortinet accesibles desde internet utilizando credenciales comprometidas. La alerta no atribuye la campana a un actor especifico vinculado a un Estado, pero las acciones recomendadas indican una urgencia coherente con la explotacion activa.
Las recomendaciones especificas de CISA incluyen: terminar de inmediato todas las sesiones VPN activas y forzar la reautenticacion; restablecer todas las credenciales de administrador y usuarios VPN; revisar los registros de acceso en busca de senales de acceso no autorizado, horarios de sesion inusuales o cuentas de administrador creadas recientemente; garantizar que las contrasenas de administrador se almacenen utilizando el algoritmo PBKDF2; habilitar la autenticacion multifactor (MFA) resistente al phishing para todo el acceso VPN; y restringir el acceso a la interfaz de gestion unicamente a redes internas o de gestion dedicadas.
Para las organizaciones que no pueden completar todos los pasos de inmediato, CISA prioriza la terminacion de sesiones y el restablecimiento de credenciales como las acciones iniciales mas criticas, especificamente porque los atacantes con credenciales validas pueden mantener la persistencia incluso si el metodo subyacente de recopilacion de credenciales se bloquea posteriormente.
Lo que esto significa para la seguridad VPN en general
FortiBleed ilustra el riesgo mas fundamental en la arquitectura VPN de perimetro: una credencial es el perimetro. A diferencia de las vulnerabilidades de capa de aplicacion que requieren el desarrollo de exploits tecnicos, el compromiso de credenciales solo requiere conocer un nombre de usuario y contrasena validos. Ningun ciclo de parches, ninguna respuesta a dia cero, ninguna regla de cortafuegos puede detener un intento de inicio de sesion que presenta credenciales legitimas.
Este es el argumento impulsor detras del cambio de la industria hacia la arquitectura Zero Trust, donde el acceso autenticado a una puerta de enlace VPN no confiere automaticamente acceso a los recursos internos. Bajo los principios de Zero Trust, cada solicitud de acceso a aplicaciones se verifica de forma independiente con autenticacion fuerte, independientemente de si la solicitud se origina desde dentro o fuera del perimetro de la red corporativa. FortiBleed es un caso de estudio de por que ese cambio de arquitectura importa.
Para las organizaciones que aun no han emprendido el camino de Zero Trust, la respuesta practica e inmediata es la misma independientemente de la arquitectura: MFA en todo el acceso VPN, monitoreo activo de registros y un ciclo de restablecimiento de credenciales que no espere a una violacion confirmada antes de actuar.
• CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure - CISA
• FortiBleed Leak Exposes Fortinet VPN Credentials for 73,000 Devices - BleepingComputer
• FortiBleed: 86,000 Fortinet Device Credentials Compromised - SecurityWeek
• Technical Advisory: FortiBleed Credential Exposure Campaign - Bitdefender
