FortiBleed: 75,000 firewalls Fortinet expuestos por credenciales robadas

¿Qué ha ocurrido?

El 26 de junio de 2026, investigadores de seguridad revelaron la existencia de un conjunto de datos filtrados que contiene credenciales de acceso a firewalls Fortinet FortiGate. El archivo, denominado 'FortiBleed', incluye nombres de usuario, correos electrónicos y contraseñas en texto plano correspondientes a 73,932 dispositivos únicos en 194 países, afectando a más de 21,000 dominios. Según The Next Web, el origen de las credenciales no es una vulnerabilidad zero-day, sino el uso de contraseñas antiguas, débiles o reutilizadas que fueron obtenidas mediante ataques de fuerza bruta o filtraciones previas. Este hallazgo fue realizado por un equipo de investigadores que analizó foros clandestinos y mercados de la dark web, donde el conjunto de datos estaba siendo vendido por un monto no revelado. Las credenciales abarcan desde pequeñas empresas hasta grandes corporaciones y entidades gubernamentales, con una concentración significativa en Estados Unidos (18% de los dispositivos), seguido de Reino Unido, Alemania y Brasil.

¿Por qué es importante?

Los firewalls Fortinet son componentes críticos en la infraestructura de red de muchas empresas, gobiernos y proveedores de servicios. La exposición de credenciales permite a los atacantes acceder a redes internas, desplegar ransomware, robar datos o establecer persistencia. Este incidente recuerda al caso 'FortiOS 0-day' de 2023, donde una vulnerabilidad crítica (CVE-2022-40684) permitió a atacantes eludir la autenticación en decenas de miles de firewalls FortiGate. Sin embargo, la diferencia clave es que en FortiBleed no se explotó una vulnerabilidad técnica, sino malas prácticas de seguridad, como contraseñas débiles, reutilizadas o expuestas en filtraciones previas. La magnitud de la filtración (casi 74,000 dispositivos) la convierte en una de las mayores de su tipo, superando incluso el incidente de credenciales de Citrix ADC en 2020 que afectó a 25,000 dispositivos. Además, el hecho de que las contraseñas estén en texto plano sugiere que los atacantes lograron extraerlas de archivos de configuración o bases de datos internas, lo que indica un acceso previo a sistemas de gestión centralizada.

Consecuencias

• Riesgo inmediato de intrusiones: Las credenciales filtradas pueden ser utilizadas para acceder a las VPN corporativas y redes internas. Dado que muchas organizaciones no rotan contraseñas con frecuencia, los atacantes podrían tener una ventana de oportunidad de semanas o meses. Según datos históricos, el 60% de las filtraciones de credenciales resultan en accesos no autorizados dentro de los primeros 30 días.
• Daño reputacional para Fortinet: Aunque no es una vulnerabilidad de producto, la asociación con fallos de seguridad previos (como el zero-day de 2023) puede erosionar la confianza de los clientes. Fortinet ha emitido un comunicado señalando que el incidente no se debe a una falla en sus productos, sino a malas prácticas de los usuarios, pero el mercado podría reaccionar negativamente, especialmente si se demuestra que la empresa no promovió adecuadamente las mejores prácticas de seguridad.
• Mayor escrutinio regulatorio: Las organizaciones afectadas podrían enfrentar multas por incumplimiento de normativas como GDPR o CCPA si se demuestra negligencia en la gestión de contraseñas. Por ejemplo, bajo el GDPR, las multas pueden alcanzar el 4% de los ingresos anuales globales. Además, sectores regulados como finanzas y salud podrían enfrentar auditorías adicionales.
• Recomendaciones de seguridad: Fortinet ha instado a los clientes a cambiar contraseñas, habilitar autenticación multifactor (MFA) y revisar logs de acceso. Sin embargo, la implementación de MFA no es universal, y muchas organizaciones aún dependen solo de contraseñas. Este incidente podría acelerar la adopción de soluciones de acceso sin contraseña o basadas en certificados.
• Impacto en el mercado de ciberseguros: Las primas de seguros cibernéticos podrían aumentar para las organizaciones que utilicen firewalls Fortinet, especialmente si no cumplen con las mejores prácticas. Además, las reclamaciones relacionadas con este incidente podrían elevar los costos para todo el sector.

¿Qué deben saber los lectores?

Si su organización utiliza firewalls Fortinet, deben asumir que sus credenciales podrían estar comprometidas y actuar de inmediato: cambiar contraseñas, rotar claves API, revisar accesos no autorizados y actualizar el firmware. Para el público general, este incidente refuerza la necesidad de usar contraseñas únicas y fuertes, y de habilitar MFA siempre que sea posible. No se ha confirmado que los atacantes hayan explotado activamente todas las credenciales, pero el riesgo es alto. Históricamente, filtraciones similares han llevado a ataques de ransomware de alto perfil, como el caso de Colonial Pipeline en 2021, donde una contraseña comprometida de una VPN permitió el acceso a la red. Además, los usuarios deben estar atentos a posibles campañas de phishing que utilicen estas credenciales para ganar credibilidad. Se recomienda monitorear servicios como Have I Been Pwned para verificar si sus correos electrónicos están en la filtración. Finalmente, este evento subraya la importancia de la higiene de contraseñas y la necesidad de que los fabricantes de dispositivos de red implementen medidas más estrictas, como la prohibición de contraseñas débiles por defecto y la aplicación obligatoria de MFA.