CCN-CERT AL 04/26 Campaña FortiBleed: compromiso masivo de credenciales en firewalls y pasarelas VPN de Fortinet

Fecha de publicación: 19/06/2026

Nivel de peligrosidad: CRÍTICO

  • El CCN-CERT recomienda a las organizaciones que utilicen dispositivos Fortinet expuestos a Internet que considere que el perímetro de su red ya está comprometido y revisen de inmediato su posible afectación, rotar credenciales, cerrar sesiones activas, reforzar la autenticación y analizar registros en busca de accesos no autorizados o movimientos laterales.

El CCN-CERT, del Centro Criptológico Nacional, alerta de la campaña activa conocida como FortiBleed que ha comprometido de forma masiva las credenciales que afectan a dispositivos Fortinet y FortiGate, firewalls y pasarelas VPN expuestas a Internet. Según la información publicada, los atacantes habrían recopilado y verificado credenciales de acceso asociadas a más de 86.000 dispositivos, 73.932 URLs únicas, 21.632 dominios en 194 países, incluidas credenciales administrativas y de acceso remoto.

La actividad observada combina automatización, búsqueda de dispositivos Fortinet accesibles desde Internet, uso de credenciales previamente comprometidas o débiles y, tras el acceso inicial, posible monitorización del tráfico para obtener nuevas credenciales y ampliar el compromiso con movimientos laterales.

Recursos afectados 

Identificador Producto Recursos expuestos Acción prioritaria

FortiBleed

Sin CVE único confirmado

Fortinet FortiGate

Firewalls y pasarelas SSL VPN/VPN expuestas a Internet

Credenciales administrativas y de VPN, sesiones activas, interfaces de administración, registros de autenticación y posibles configuraciones exportadas.

Rotar credenciales, cerrar sesiones, revisar registros, aplicar actualizaciones y restringir la exposición de interfaces.

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones que utilicen dispositivos Fortinet FortiGate, especialmente aquellos con servicios VPN o interfaces de administración expuestas a Internet, adoptar de forma inmediata las siguientes medidas:

  • Comprobar si los dominios, direcciones IP o dispositivos de la organización aparecen en los conjuntos de datos o herramientas de verificación publicados por fuentes de inteligencia de amenazas, sin considerar un resultado negativo como prueba suficiente de ausencia de compromiso.
  • Finalizar todas las sesiones activas de administración y VPN en dispositivos Fortinet expuestos, y rotar de forma inmediata todas las credenciales administrativas, de VPN, de servicio y de cuentas asociadas.
  • Implantar o reforzar la autenticación multifactor en accesos remotos y cuentas administrativas, asegurando su aplicación efectiva en todas las pasarelas e interfaces externas.
  • Restringir el acceso a las interfaces de administración de Fortinet desde Internet, limitándolo a redes internas, VPN de administración o direcciones IP de confianza, y deshabilitar cuentas no autorizadas, genéricas o innecesarias.
  • Revisar los registros de firewall, VPN, autenticación y controladores de dominio para detectar accesos anómalos, cambios de configuración no autorizados, creación de cuentas sospechosas, movimientos laterales o actividad posterior al inicio de sesión.
  • Actualizar los dispositivos Fortinet a versiones soportadas, incluyendo el uso de mecanismos robustos de almacenamiento de credenciales y la eliminación de hashes heredados cuando proceda.
  • Si se detectan indicios de compromiso, activar los procedimientos de respuesta a incidentes, preservar evidencias, revocar tokens o sesiones persistentes, revisar la posible afectación de servicios internos y realizar una investigación forense completa.

Referencias