Actualidade CCN
CCN-CERT AL 04/26 Campaña FortiBleed: compromiso masivo de credenciales en firewalls y pasarelas VPN de Fortinet
- Detalles
Fecha de publicación: 19/06/2026
Nivel de peligrosidad: CRÍTICO
- El CCN-CERT recomienda a las organizaciones que utilicen dispositivos Fortinet expuestos a Internet que considere que el perímetro de su red ya está comprometido y revisen de inmediato su posible afectación, rotar credenciales, cerrar sesiones activas, reforzar la autenticación y analizar registros en busca de accesos no autorizados o movimientos laterales.
El CCN-CERT, del Centro Criptológico Nacional, alerta de la campaña activa conocida como FortiBleed que ha comprometido de forma masiva las credenciales que afectan a dispositivos Fortinet y FortiGate, firewalls y pasarelas VPN expuestas a Internet. Según la información publicada, los atacantes habrían recopilado y verificado credenciales de acceso asociadas a más de 86.000 dispositivos, 73.932 URLs únicas, 21.632 dominios en 194 países, incluidas credenciales administrativas y de acceso remoto.
La actividad observada combina automatización, búsqueda de dispositivos Fortinet accesibles desde Internet, uso de credenciales previamente comprometidas o débiles y, tras el acceso inicial, posible monitorización del tráfico para obtener nuevas credenciales y ampliar el compromiso con movimientos laterales.
Recursos afectados
| Identificador | Producto | Recursos expuestos | Acción prioritaria |
|
FortiBleed |
Fortinet FortiGate |
Credenciales administrativas y de VPN, sesiones activas, interfaces de administración, registros de autenticación y posibles configuraciones exportadas. |
Rotar credenciales, cerrar sesiones, revisar registros, aplicar actualizaciones y restringir la exposición de interfaces. |
Recomendaciones
El CCN-CERT recomienda a todas las organizaciones que utilicen dispositivos Fortinet FortiGate, especialmente aquellos con servicios VPN o interfaces de administración expuestas a Internet, adoptar de forma inmediata las siguientes medidas:
- Comprobar si los dominios, direcciones IP o dispositivos de la organización aparecen en los conjuntos de datos o herramientas de verificación publicados por fuentes de inteligencia de amenazas, sin considerar un resultado negativo como prueba suficiente de ausencia de compromiso.
- Finalizar todas las sesiones activas de administración y VPN en dispositivos Fortinet expuestos, y rotar de forma inmediata todas las credenciales administrativas, de VPN, de servicio y de cuentas asociadas.
- Implantar o reforzar la autenticación multifactor en accesos remotos y cuentas administrativas, asegurando su aplicación efectiva en todas las pasarelas e interfaces externas.
- Restringir el acceso a las interfaces de administración de Fortinet desde Internet, limitándolo a redes internas, VPN de administración o direcciones IP de confianza, y deshabilitar cuentas no autorizadas, genéricas o innecesarias.
- Revisar los registros de firewall, VPN, autenticación y controladores de dominio para detectar accesos anómalos, cambios de configuración no autorizados, creación de cuentas sospechosas, movimientos laterales o actividad posterior al inicio de sesión.
- Actualizar los dispositivos Fortinet a versiones soportadas, incluyendo el uso de mecanismos robustos de almacenamiento de credenciales y la eliminación de hashes heredados cuando proceda.
- Si se detectan indicios de compromiso, activar los procedimientos de respuesta a incidentes, preservar evidencias, revocar tokens o sesiones persistentes, revisar la posible afectación de servicios internos y realizar una investigación forense completa.
Referencias


