La campaña FortiBleed se dirige a dispositivos Fortinet FortiGate expuestos a Internet para robar credenciales y abrir la puerta a intrusiones en redes corporativas. La actividad combina fuerza bruta, ataques de diccionario y credential stuffing, lo que obliga a priorizar la rotación de contraseñas y el refuerzo de la autenticación.
Una campaña bautizada como FortiBleed ha colocado a los dispositivos perimetrales de Fortinet, en especial FortiGate y sus servicios de VPN, en el centro de una operación de robo de credenciales a gran escala. La actividad se concentra en equipos expuestos a Internet y persigue un objetivo muy concreto: conseguir usuarios y contraseñas con los que entrar por la puerta principal, sin necesidad de malware sofisticado ni técnicas especialmente ruidosas.
El patrón que describen las alertas encaja con lo que más teme cualquier equipo de respuesta a incidentes cuando mira al perímetro: oleadas de intentos de acceso automatizados que mezclan fuerza bruta, diccionario y credential stuffing contra portales accesibles desde fuera. En la práctica, los atacantes prueban combinaciones de credenciales de forma masiva, a menudo reutilizando pares de usuario y contraseña procedentes de filtraciones previas, hasta dar con un acceso válido a la SSL VPN o, en el peor escenario, al plano de administración.
El riesgo no termina en el inicio de sesión. Si una cuenta funciona en el firewall o la pasarela VPN y esa contraseña se repite en otros sistemas, el atacante puede saltar a servicios internos y avanzar con movimiento lateral. También preocupa la persistencia: tras un acceso inicial, lo habitual es ver cambios de configuración, creación de usuarios o nuevas reglas que facilitan volver a entrar.
La prioridad defensiva pasa por cortar esa cadena cuanto antes. Conviene rotar de inmediato las contraseñas asociadas a administración, VPN y cuentas de servicio vinculadas a FortiGate y a pasarelas VPN, y activar MFA en cualquier acceso remoto que lo permita. Reducir superficie también ayuda: limitar la exposición a Internet de las interfaces de administración, restringir por ACL o usar una VPN de administración cuando sea viable.
En paralelo, toca mirar los logs con lupa. Hay que buscar picos de autenticaciones fallidas, patrones de credential stuffing y orígenes anómalos, y aplicar umbrales de bloqueo y rate limiting para frenar intentos automatizados. Deshabilitar cuentas que no se usan, eliminar credenciales compartidas y endurecer políticas de contraseña reduce el margen de maniobra del atacante.
Si existe la sospecha de reutilización, el alcance se amplía rápidamente. Un barrido de accesos remotos y credenciales filtradas dentro de la organización, seguido de un cambio forzado en sistemas internos, puede marcar la diferencia. Después, queda lo más ingrato: elevar la monitorización para detectar señales posteriores al acceso, como inicios de sesión desde ubicaciones inusuales, cambios no previstos en la configuración o alta de nuevos administradores.
Más información
- The Hacker News – FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation : https://thehackernews.com/2026/06/fortibleed-targeted-fortigate.html
- Dark Reading – FortiBleed Attackers Turn Firewalls Into Credentials Stealers : https://www.darkreading.com/cyberattacks-data-breaches/fortibleed-attackers-firewalls-credentials-stealers
- UK National Cyber Security Centre (NCSC) – Alert: NCSC issues advice following global targeting of Fortinet firewalls and VPN gateways (PDF) : https://www.ncsc.gov.uk/sites/default/files/2026-06/Alert-NCSC-issues-advice-following-global-targeting-of-Fortinet-firewalls-and-VPN-gateways_3.pdf
Deja una respuesta