El 17 de junio de 2026 se hizo público un conjunto de credenciales que no debería haber sorprendido a nadie y alarmó a todos. El investigador Volodymyr "Bob" Diachenko encontró un servidor expuesto en Internet que contenía nombres de usuario, direcciones de correo electrónico y contraseñas en texto plano de decenas de miles de cortafuegos Fortinet FortiGate. Kevin Beaumont obtuvo el conjunto, lo trabajó con Hudson Rock y confirmó la parte que nadie quería ver confirmada: las credenciales eran válidas. La campaña fue bautizada FortiBleed.
Las cifras son la historia. 73.932 URL únicas de FortiGate repartidas por 194 países, vinculadas a 21.632 dominios, lo que según los sondeos de Shodan es aproximadamente la mitad de todos los cortafuegos Fortinet actualmente expuestos a la Internet pública. Las organizaciones afectadas no son aficionadas: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, además de agencias gubernamentales y operadores de infraestructuras críticas. Al menos cuatro organizaciones fueron comprometidas por completo, en Japón, Taiwán, Vietnam, Irak y Turquía, con atacantes desplazándose de máquina a máquina dentro de la red. El peor caso es un subcontratista de defensa turco miembro de la OTAN del que se exfiltraron documentos clasificados. La actividad se atribuye a un grupo criminal rusoparlante con varios operadores.
La ironía se escribe sola. El cortafuegos, el único dispositivo cuyo propósito entero es contener a los intrusos en el perímetro, se convirtió en la puerta abierta del perímetro.
Qué ocurrió realmente, en lo técnico
Aquí no hay ninguna vulnerabilidad nueva, y eso importa. La recolección se remonta a CVE-2022-40684, el bypass de autenticación de FortiOS que Fortinet parcheó en octubre de 2022 y que fue explotado masivamente antes de que la mayoría de las organizaciones aplicaran la corrección. Las credenciales recogidas durante aquella oleada de 2022 circulan desde entonces en foros criminales privados. FortiBleed es ese stock, refrescado: los operadores interceptaron la autenticación SSL-VPN, recuperaron los hashes de contraseñas y los descifraron en un clúster de 45 GPU orquestado con Hashtopolis. Luego reprodujeron las contraseñas recuperadas contra dispositivos activos, registrando 1,16 mil millones de intentos de inicio de sesión contra 320.000 dispositivos FortiGate y 2,1 mil millones más en paralelo contra 160.000 servidores Microsoft SQL, y condujeron las válidas hasta el Active Directory, el directorio que gobierna cada cuenta Windows de la organización.
La respuesta de Fortinet es técnicamente correcta y estratégicamente fuera de lugar. La empresa caracteriza FortiBleed como datos reciclados de incidentes pasados más fuerza bruta, no como un fallo nuevo en sus productos. Cierto. Pero los dispositivos siguen en línea, y una contraseña reciclada abre una puerta real durante exactamente todo el tiempo que nadie la cambie. En un parque grande, rotar cada credencial de VPN y de administrador no se hace en un chasquido de dedos, que es justamente la razón por la que los atacantes apostaron a que seguiría funcionando. Tenían razón.
Qué marcos regulatorios gobiernan esto, y qué exigen
Esto no es una nota técnica de nicho; se sitúa de lleno dentro de tres regímenes a los que las organizaciones afectadas ya responden.
El Reglamento de Resiliencia Operativa Digital de la UE (DORA) vincula a las entidades financieras. Su pilar de gestión del riesgo de las TIC (artículos 5 a 15) exige una autenticación fuerte y un control de acceso en los puntos de entrada remotos (artículo 9) y una capacidad de respuesta a incidentes probada y documentada (artículo 11). DORA no acepta "parcheamos la CVE de 2022" como resiliencia; pregunta si la exposición residual fue identificada, cuantificada y gobernada. La Directiva de Seguridad de las Redes y Sistemas de Información 2 (NIS2) cubre una población mucho más amplia, que incluye energía, transporte, industria, infraestructura digital y administración pública, y su artículo 21 nombra explícitamente la autenticación multifactor, el control de acceso y la gestión de activos como medidas de base, siendo los órganos de dirección personalmente responsables en virtud del artículo 20. ISO/IEC 27001:2022 formula los mismos controles como obligaciones del Anexo A: A.5.17 (información de autenticación), A.8.5 (autenticación segura), A.5.15 (control de acceso) y A.8.9 (gestión de la configuración). Para el subcontratista de defensa de la OTAN se aplica una cuarta capa: obligaciones de seguridad de la cadena de suministro de defensa en virtud de las cuales la exfiltración de material clasificado es un evento declarable, de nivel soberano, y no una mera violación comercial.
Qué controles fallaron
Quite la escala de titular y FortiBleed se reduce a una breve lista de interruptores dejados en posición APAGADO. La autenticación multifactor de acceso remoto estaba ausente o incompleta, y es el único control que vuelve inerte una contraseña robada, aquel cuya presencia separa un no-evento de una brecha. La rotación de credenciales nunca se activó tras el compromiso de 2022, de modo que contraseñas filtradas cuatro años antes seguían autenticándose en junio de 2026. La higiene de parches y configuración se rezagó respecto a la ventana original de CVE-2022-40684 lo suficiente para que la recolección tuviera éxito. La segmentación de red entre el perímetro VPN y el núcleo Active Directory era endeble o ausente, convirtiendo un único dispositivo comprometido en movimiento lateral a escala de dominio. Y por debajo de todo ello, falló la visibilidad de activos: las organizaciones no tenían una vista autorizada y actual de cuáles de sus dispositivos FortiGate estaban expuestos a Internet, con qué firmware, con qué cuentas y con qué postura de autenticación. No se puede rotar, segmentar ni imponer MFA sobre una exposición que no se ve.
Qué habrían cambiado las herramientas de CCI
Ninguno de los cuatro controles anteriores requería una nueva categoría de producto. Requerían que la exposición se viera, se tasara y se probara de forma continua, que es precisamente la brecha que cierran los instrumentos de CCI.
EviGen habría respondido la única pregunta que importa antes de que los atacantes la hicieran: ¿está la MFA impuesta en cada cuenta SSL-VPN y de administrador, en cada dispositivo, ahora mismo? EviGen recoge esa evidencia de configuración de forma automática en todo el parque y la empaqueta con conciencia del marco como el artefacto del artículo 9 de DORA, el artículo 21 de NIS2 y A.8.5 de ISO, generado de forma continua en lugar de reconstruido en el pánico. Una laguna en la cobertura MFA se convierte en un hallazgo fechado y firmado la semana en que se abre, no en un descubrimiento forense tras la exfiltración.
NetDiagramer habría dibujado el camino que los atacantes realmente recorrieron. Cartografía las zonas de cortafuegos y las dependencias entre capas a partir del inventario vivo, sacando a la luz cada FortiGate expuesto a Internet y, de manera crítica, la ruta desde el perímetro SSL-VPN hasta el núcleo Active Directory. La adyacencia plana entre perímetro y dominio que hizo plenamente comprometibles a cuatro organizaciones es exactamente lo que una topología generada automáticamente en virtud del artículo 8 de DORA y el artículo 21 de NIS2 expone como un hallazgo en lugar de como un diagrama de autopsia.
cVaR habría convertido "credenciales viejas, probablemente sin importancia" en una cifra digna de un consejo de administración. Aplicando FAIR y la simulación de Monte-Carlo sobre el inventario de activos, tasa el escenario "una credencial VPN expuesta a Internet se reproduce y pivota hacia AD" como una curva de superación de pérdidas en euros. Una exposición residual que se lee como una vaga preocupación en un registro de riesgos se lee como valor en riesgo condicional en un tablero cVaR, y los euros residuales se rotan allí donde las preocupaciones residuales se aplazan.
DORA-MAST lo habría hecho un escenario probado en lugar de una sorpresa. Ejecuta la perturbación, la reutilización de credenciales en el perímetro de acceso remoto, contra el modelo, calcula el impacto en la resiliencia y documenta la prueba en virtud del programa de pruebas de los artículos 24 a 31 de DORA, incluido el riesgo de concentración en un tercero que supone apostar todo el perímetro a un único proveedor de dispositivos.
Predecir la exposición, tasarla, probar el control, ensayar el fallo. La herida de 2022 era conocible. Las credenciales filtradas eran conocibles. La laguna de MFA era conocible. FortiBleed no explotó una vulnerabilidad en el código de Fortinet. Explotó la distancia entre un control que una organización poseía y un control que una organización podía probar que estaba activado. Cierre esa distancia y la contraseña reciclada no abre nada.
Si su dominio ya está en la lista: conseguir ayuda rápido
Las herramientas anteriores describen una postura que una organización construye antes de un incidente. FortiBleed, para muchos de los 21.632 dominios expuestos, no es un riesgo futuro sino uno presente, y la pregunta honesta es qué hacer esta semana. Se aplican dos capacidades distintas de CCI, y vale la pena ser preciso sobre qué hace cada una.
La primera es el liderazgo bajo presión. El CISO como servicio de CCI se apoya en un grupo de ocho o más profesionales certificados CISSP con trayectorias deliberadamente no redundantes en banca, defensa, telecomunicaciones y energía. Para una organización que acaba de descubrir sus credenciales en el conjunto FortiBleed, el modo relevante es la cobertura interina o a demanda: un responsable de seguridad rendidor de cuentas que pueda triar la exposición, informar a un consejo y responder a las preguntas de un regulador en virtud del artículo 11 (DORA) o del artículo 23 (NIS2) mientras el equipo interno ejecuta la rotación. No auditamos allí donde dirigimos, de modo que esa independencia se preserva por diseño.
La segunda es la velocidad de ingeniería. Las personas que construyeron EviGen, NetDiagramer, cVaR y DORA-MAST no son un proveedor aparte; son un equipo interno de investigación y desarrollo de académicos, investigadores de nivel doctoral e ingenieros de seguridad. Eso importa operativamente porque la remediación de FortiBleed es, a escala, un problema de instrumentación: cotejar el parque completo de FortiGate de una organización con la lista publicada de dominios expuestos, forzar la rotación de credenciales en cientos de dispositivos y luego probar que la autenticación multifactor está impuesta en cada cuenta restante. Este es exactamente el tipo de instrumento de reparación a medida que esos mismos ingenieros pueden levantar rápidamente, porque las primitivas subyacentes, incluida la ingesta de inventario, la recolección de evidencia de configuración y la cartografía de topología, ya existen como productos entregados en lugar de presentaciones. El encuadre honesto es una capacidad, no un cronómetro contractual: el equipo que productizó estas primitivas puede componerlas en una herramienta de remediación dirigida mucho más rápido que un equipo que se enfrenta al problema por primera vez. Si FortiBleed ha alcanzado su parque, la vía más rápida hacia una respuesta acotada es hablar con un profesional.
La herida que nunca cerró
El avispón no cambia; la colonia sí. Las credenciales que los clientes de Fortinet perdieron en 2022 nunca iban a caducar por sí solas, porque las contraseñas no se cicatrizan. Lo que cambió, para la mitad del parque aún expuesta, es nada: mismos dispositivos, mismas contraseñas, mismo camino plano hasta el dominio. La corrección es poco gloriosa y enteramente al alcance. Imponer MFA, rotar ahora, segmentar el perímetro del núcleo, y mantener evidencia continua de que las tres cosas son ciertas. Los atacantes apuestan a que usted leerá esto, asentirá y lo aplazará al próximo trimestre. Tienen un historial de cuatro años de tener razón en eso.
Acronyms
| Acrónimo | Desarrollo (inglés) | Traducción al español |
|---|---|---|
| AD | Active Directory | Active Directory (directorio activo) |
| CVE | Common Vulnerabilities and Exposures | Vulnerabilidades y Exposiciones Comunes |
| CVSS | Common Vulnerability Scoring System | Sistema Común de Puntuación de Vulnerabilidades |
| DORA | Digital Operational Resilience Act | Reglamento de Resiliencia Operativa Digital |
| FAIR | Factor Analysis of Information Risk | Análisis Factorial del Riesgo de la Información |
| GPU | Graphics Processing Unit | Unidad de Procesamiento Gráfico |
| ICT | Information and Communication Technology | Tecnologías de la Información y la Comunicación |
| MFA | Multi-Factor Authentication | Autenticación Multifactor |
| NIS2 | Network and Information Security Directive 2 | Directiva de Seguridad de las Redes y Sistemas de Información 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Red Privada Virtual con Capa de Conexión Segura |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj