FortiBleed expone credenciales VPN de Fortinet en 73.932 dispositivos alrededor del mundo

Una filtración bautizada como FortiBleed expuso lo que parecen ser credenciales válidas de VPN y administración para cerca de 75.000 dispositivos Fortinet. Investigadores advierten que el alcance toca a empresas, gobiernos e infraestructura crítica en 194 países, mientras el origen exacto del robo sigue sin aclararse.
***

• La base filtrada incluye 73.932 URLs únicas de firewalls y 21.632 dominios en 194 países, según Hudson Rock.
• Bob Diachenko afirmó que los atacantes habrían ejecutado más de 1.160 millones de intentos contra objetivos FortiGate y 2.100 millones contra Microsoft SQL Server.
• Kevin Beaumont dijo haber verificado que parte de las credenciales son auténticas y que la mayoría de los dispositivos afectados siguen en línea.

🚨 Filtración masiva de FortiBleed expone credenciales VPN de 73.932 dispositivos Fortinet en 194 países.

Investigadores confirman 1.160 millones de intentos de acceso y más de 2.100 millones contra Microsoft SQL Server.

Las credenciales incluyen nombres de usuario y… pic.twitter.com/JIixOAydBA

— Diario฿itcoin (@DiarioBitcoin) June 17, 2026

Una nueva filtración de ciberseguridad, identificada como FortiBleed, dejó expuestas credenciales que parecen corresponder a dispositivos VPN y firewalls Fortinet y FortiGate usados por organizaciones de todo el mundo.

El hallazgo elevó la preocupación entre empresas, gobiernos y operadores de infraestructura crítica, ya que el conjunto de datos contiene nombres de usuario, correos electrónicos y contraseñas en texto claro asociadas con 73.932 URLs de firewalls.

Para dimensionar el problema, conviene recordar que los equipos FortiGate suelen proteger accesos remotos, paneles administrativos y segmentos sensibles de redes corporativas.

Cuando esas credenciales quedan expuestas, el riesgo no se limita al acceso inicial. También puede facilitar movimiento lateral, robo de datos, espionaje y compromiso de servicios internos.

La investigación fue reportada inicialmente por BleepingComputer, que recogió testimonios y verificaciones de varios especialistas independientes sobre la autenticidad y el alcance del material filtrado.

Qué es FortiBleed y qué datos quedaron expuestos

El investigador de seguridad Bob Diachenko descubrió un servidor expuesto que almacenaba lo que describió como una colección de credenciales aparentemente válidas de Fortinet.

Según las capturas de pantalla y la información compartida por Diachenko, la base incluía nombres de usuario, direcciones de correo electrónico y contraseñas en texto claro vinculadas a dispositivos FortiGate SSL VPN.

Entre las entradas visibles aparecían organizaciones como Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec y State Grid, además de muchas otras empresas de gran tamaño.

Diachenko sostuvo que la operación habría sido ejecutada por un grupo de amenazas con múltiples operadores de habla rusa, dedicado a recolectar credenciales para estos dispositivos.

También señaló que los datos expuestos contenían comentarios sobre la industria de cada organización, sus ingresos y su número de empleados, un detalle que sugiere tareas de perfilado para planificar ataques posteriores.

En una de sus publicaciones, Diachenko describió la actividad como una campaña masiva de explotación activa y fuerza bruta dirigida contra equipos Fortinet y FortiGate.

El investigador afirmó que en uno de los archivos aparecían 21.634 nombres de dominio, desde Chevron hasta Fortinet, todos con contraseñas potencialmente válidas obtenidas por diversos medios.

La escala del presunto ataque y los métodos atribuidos

Diachenko dijo haber reconstruido parte del funcionamiento de la operación tras revisar materiales adicionales que también quedaron expuestos en el mismo servidor.

Según su análisis, los atacantes habrían realizado cerca de 1.160 millones de intentos de credenciales contra 320.777 objetivos FortiGate.

Además, aseguró que el mismo grupo ejecutó otros 2.100 millones de intentos contra 163.650 sistemas de Microsoft SQL Server.

El investigador también afirmó que los actores de amenaza interceptaron hashes de autenticación de VPN SSL y luego los rompieron con un clúster de 45 GPU administrado mediante Hashtopolis.

De acuerdo con su explicación, las credenciales recuperadas después fueron usadas para moverse lateralmente dentro de entornos internos de Active Directory.

Diachenko dijo a BleepingComputer que los atacantes dejaron por accidente un directorio abierto con artefactos, cadenas de conexión, herramientas, scripts y datos en línea.

También mencionó que obtuvo analíticas a partir de trabajos cron, historiales de bash y registros, lo que le permitió reconstruir parte de la infraestructura operativa usada por los atacantes.

Según su evaluación, múltiples organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía habrían sido completamente comprometidas.

Incluso sostuvo que entre los afectados figuraba un contratista de defensa de la OTAN en Turquía del que supuestamente se robaron documentos clasificados.

Verificaciones independientes y dimensión global de la fuga

La firma de inteligencia Hudson Rock publicó después su propio análisis tras recibir el conjunto de datos de Diachenko.

La empresa describió la colección como uno de los mayores tesoros conocidos de credenciales comprometidas relacionadas con Fortinet.

Según Hudson Rock, la base contiene 73.932 URLs únicas de firewalls distribuidas en 194 países y afecta a 21.632 dominios únicos.

La firma añadió que los atacantes mantuvieron registros detallados de compromisos exitosos y reunieron una base de datos con credenciales verificadas para organizaciones de casi todos los sectores industriales relevantes.

Entre las organizaciones que, según Hudson Rock, aparecen en el conjunto están Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, varias agencias gubernamentales y operadores de infraestructura crítica.

La empresa también compartió estadísticas que ubican la mayor cantidad de dispositivos afectados en India, Estados Unidos, Taiwán, México, Turquía, Tailandia, Colombia, Malasia, Chile y Emiratos Árabes Unidos.

Los sectores más frecuentes en la base serían telecomunicaciones, servicios de TI, servicios financieros, organismos gubernamentales, proveedores de salud, instituciones educativas y manufactura.

Un aspecto que llamó la atención de los investigadores es que muchas de las credenciales filtradas consisten en contraseñas largas y complejas, normalmente consideradas difíciles de romper.

Por qué se cree que los datos salieron de configuraciones de Fortinet

El investigador Kevin Beaumont revisó de forma independiente partes del material filtrado y dijo a BleepingComputer que algunas de las credenciales son auténticas.

Beaumont afirmó haber confirmado la autenticidad de algunos inicios de sesión de administrador y sus contraseñas, lo que a su juicio apunta a un volcado real.

Más tarde publicó hallazgos adicionales tras revisar la información compartida por Hudson Rock y sostuvo que el conjunto contiene credenciales para aproximadamente 75.000 dispositivos Fortinet.

Según Beaumont, la mayoría de esos dispositivos todavía sigue en línea, un dato especialmente delicado por la posibilidad de abuso inmediato.

El investigador añadió que los datos parecen provenir de configuraciones exportadas de Fortinet, porque incluyen direcciones de correo electrónico y otros elementos que usualmente solo son accesibles a través de esos archivos.

También destacó que las direcciones IP afectadas son distintas de las vistas en el volcado de Fortinet atribuido al Grupo Belsen en 2025.

Esa diferencia, de acuerdo con Beaumont, refuerza la idea de que se trata de una colección más reciente y de mayor tamaño que incidentes previos conocidos.

Beaumont dijo además que verificó el uso de credenciales válidas en múltiples organizaciones listadas y observó que muchos equipos afectados ejecutaban versiones relativamente recientes de FortiOS.

Con base en datos de red de Shodan, agregó que la filtración incluiría aproximadamente la mitad de todos los firewalls Fortinet accesibles desde internet.

También señaló que la mayoría de los dispositivos expuestos muestran sus interfaces de gestión de FortiGate directamente a internet, una práctica que amplifica el riesgo operativo.

Lo que aún no se sabe y las medidas urgentes para las organizaciones

El origen exacto de los datos sigue sin aclararse. Hasta ahora no existe confirmación de si fueron obtenidos mediante fallas de Fortinet divulgadas previamente, un error nuevo o algún otro método.

Ni Diachenko, ni Hudson Rock, ni Beaumont identificaron con certeza cómo se produjo el robo original de las configuraciones.

En ese contexto, la ausencia de una explicación definitiva obliga a las organizaciones a tratar la filtración como una amenaza activa y no como un incidente histórico ya cerrado.

Hudson Rock lanzó una herramienta de búsqueda gratuita para que las empresas verifiquen si sus dominios o dispositivos aparecen dentro de la base asociada con FortiBleed.

Las organizaciones incluidas en el conjunto de datos deberían rotar de inmediato las contraseñas asociadas con las interfaces VPN y administrativas de Fortinet.

También resulta clave exigir autenticación multifactor en todos los accesos posibles, especialmente en portales de administración y conexiones remotas de alto privilegio.

Otro paso urgente consiste en revisar los registros de las pasarelas para detectar actividad sospechosa, intentos anómalos de autenticación y evidencias de uso indebido de cuentas válidas.

A eso se suma la necesidad de monitorear si credenciales de empleados quedaron expuestas y de comprobar si hubo movimiento lateral hacia sistemas internos como Active Directory.

BleepingComputer indicó que se comunicó con Fortinet para solicitar comentarios sobre el conjunto de datos expuesto y que actualizará su cobertura si recibe una respuesta de la compañía.

El caso FortiBleed vuelve a subrayar una lección central en ciberseguridad corporativa. Un acceso remoto mal protegido puede convertirse en la puerta de entrada para compromisos de gran escala, incluso cuando las contraseñas aparentan ser robustas.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín