En junio de 2026, un investigador de seguridad llamado Volodymyr «Bob» Diachenko encontró un servidor expuesto en Internet. En su interior había una lista. No eran archivos robados ni malware. Se trataba de una lista de nombres de usuario y contraseñas válidos para los cortafuegos que protegen la puerta de entrada de decenas de miles de empresas.
A fecha de 19 de junio, esa lista abarcaba aproximadamente 86 644 dispositivos Fortinet repartidos por 194 países. Esto supone aproximadamente la mitad de todos los cortafuegos Fortinet accesibles desde Internet. Informes anteriores situaban la cifra en 73 932, pero esta fue aumentando a medida que los investigadores seguían contabilizándolos. La campaña ya tiene nombre: FortiBleed.
Un cortafuegos es el dispositivo que decide quién puede entrar y salir de la red de una empresa. Muchos de ellos también gestionan una VPN, el túnel cifrado que utilizan los empleados para conectarse desde casa. Por lo tanto, no se trata de equipos de poca importancia. Son las cerraduras de la entrada principal. Y alguien ha elaborado un catálogo con las claves válidas para una gran parte de ellas.
No hay ningún error que corregir
La mayoría de las noticias sobre seguridad que lees terminan con el mismo consejo: un proveedor ha detectado un fallo, ha publicado un parche y hay que instalarlo. A cada uno de esos fallos se le asigna un número, un CVE, para que todo el mundo pueda hacer un seguimiento.
FortiBleed no tiene ningún CVE. El software de Fortinet no se vio comprometido. Nadie forzó ninguna puerta. Simplemente se copiaron las claves.
A continuación te lo explico en términos sencillos. Un grupo conocido como SantaAd, que se anunciaba en un foro delictivo de habla rusa, llevó a cabo más de mil millones de intentos de inicio de sesión contra dispositivos Fortinet conectados a Internet. Adivinaron contraseñas a gran escala, reutilizaron contraseñas filtradas en brechas de seguridad anteriores y descifraron archivos de contraseñas cifrados utilizando un rack de tarjetas gráficas creado específicamente para esa tarea. A continuación , dieron el paso más importante: comprobaron qué claves funcionaban realmente y se quedaron solo con esas.
Así pues, el resultado no es un riesgo teórico. Se trata de un conjunto verificado de datos de acceso que abren puertas reales.
La autenticación se ha realizado correctamente
La mayoría de las medidas de seguridad están diseñadas para detectar a alguien que intenta entrar por la fuerza: una contraseña incorrecta, un intento bloqueado, un programa malware activa una alarma. FortiBleed no provoca nada de eso.
Cuando un atacante inicia sesión con una contraseña real, el sistema hace exactamente lo que se diseñó para hacer: le permite el acceso. El inicio de sesión parece idéntico al tuyo. El mismo tipo de nombre de usuario, el mismo tipo de sesión, registrado de la misma forma en el mismo lugar. El registro de auditoría, que recoge quién ha iniciado sesión y cuándo, muestra un inicio de sesión normal y correcto. No se activa ninguna alarma, porque, desde el punto de vista del dispositivo, no ha ocurrido ningún error. El registro de auditoría le ha dado vía libre.
Este es el punto ciego sobre el que más escribo. No se trata de que «alguien haya entrado sin autorización». Alguien ha iniciado sesión, y el registro lo confirma. Una contraseña correcta se considera prueba de identidad, incluso cuando quien la introduce es un desconocido que la ha comprado en una subasta.
Una llave, vendida muchas veces
Hay un segundo giro que la mayoría de los medios han pasado por alto, y es precisamente la parte que más debería preocupar a los responsables de seguridad.
SantaAd no se limitó a recopilar las claves. Las clasificó según los ingresos de cada empresa afectada y las subastó. Las empresas con mayores ingresos se ofrecieron como objetivos de primera categoría.
Eso cambia la naturaleza del problema. Cuando el acceso se vende en subasta, varias bandas criminales diferentes pueden adquirir la misma clave de acceso al mismo tiempo. Una empresa puede tener a más de un intruso, sin relación entre sí, con un acceso válido al mismo cortafuegos al mismo tiempo, cada uno de los cuales inicia sesión sin dejar rastro y parece totalmente legítimo. La decisión de atacar no la tomó un hacker que analizara tus defensas. La tomó una lista de precios.
Por qué las soluciones habituales no dan la talla
Las medidas habituales ante una filtración no son tan eficaces como cabría esperar en este caso.
No se puede solucionar con un parche, porque no hay nada que esté fallando. Restablecer las contraseñas ayuda, pero solo si se sabe qué credenciales han sido sustraídas y solo si se restablecen todas y cada una de ellas en todos los sitios donde se utilizan. Si se pasa por alto alguna, ese inicio de sesión seguirá funcionando. La CISA ha instado a los clientes de Fortinet a rotar las credenciales y revisar los accesos, lo cual es lo correcto, pero supone una carrera manual contra una lista que no se puede ver en su totalidad.
Hay otro inconveniente. Un cortafuegos es un dispositivo cerrado. No se le puede instalar un antivirus ni un agente de supervisión como se hace en un ordenador portátil. Así pues, el dispositivo que acaba de permitir la entrada a un atacante es también un dispositivo que no cuenta con ningún sistema de vigilancia desde dentro.
Dónde se puede ver de verdad
Si el proceso de inicio de sesión en sí parece normal y el dispositivo no puede detectarse a sí mismo, entonces el momento adecuado para detectar esto no es el momento del inicio de sesión , sino todo lo que ocurre después.
Una llave robada demuestra que se puede abrir la puerta. Pero no revela al ladrón cómo se comportan las personas que viven allí. La cuenta auténtica inicia sesión desde lugares conocidos, a horas habituales y realiza acciones habituales. La cuenta prestada, en cambio, acaba por no hacerlo. Se conecta desde un lugar inesperado, a una hora extraña, y accede a sistemas que el usuario real nunca utiliza. Ese comportamiento es lo que la contraseña no puede simular.
Esto es lo que hay que tener en cuenta a la hora de observar qué hace una cuenta válida, y no solo si ha conseguido acceder. El sistema de inicio de sesión seguirá indicando que sí. Lo que haga la cuenta a continuación es lo que delata la situación.
Qué hacer esta semana
Tres preguntas prácticas, en un lenguaje sencillo:
En primer lugar, ¿se supervisa el comportamiento de tus inicios de sesión en Fortinet tras el acceso, o solo se comprueba que la contraseña sea correcta? La mayor parte de la supervisión está configurada para detectar intentos fallidos de inicio de sesión. FortiBleed genera inicios de sesión que se completan con éxito.
En segundo lugar, si se produce un inicio de sesión correcto desde un lugar desconocido, ¿alguien se daría cuenta? Esa es la señal que importa en este caso, no un repunte en el número de fallos.
En tercer lugar, ¿has cambiado las credenciales del cortafuegos y de la VPN, y has comprobado que esas mismas contraseñas no se reutilizan en ningún otro sitio? Una clave copiada solo se retira cuando todas las copias dejan de funcionar.
FortiBleed no es realmente un caso relacionado con Fortinet. Es un recordatorio de que un inicio de sesión válido es lo único que un parche no puede solucionar. La detección no falla. Es incompleta, y la parte que falta es lo que ocurre una vez que la autenticación se ha realizado con éxito.
---
Esta es la «brecha 2» del marco «Mind Your Attack Gaps»: la autenticación se realiza con éxito. Para ver una explicación detallada de cómo los ataques con credenciales válidas logran eludir las medidas de prevención, consulta el capítulo dedicado a la Brecha 2 del libro electrónico.