Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Exposición de credenciales en dispositivos Fortinet

Fecha de publicación 22/06/2026

Recientemente, se ha publicado la existencia de un extenso listado de credenciales vinculado a dispositivos Fortinet, especialmente en FortiGate y entornos SSL-VPN expuestos a Internet. A esta secuencia de sucesos se le ha denominado FortiBleed.

FortiBleed se podría vincular, en su origen, a la explotación de vulnerabilidades, como CVE-2023-27997 en FortiOS y FortiProxy SSL-VPN, corregida por Fortinet en junio de 2023. Esta vulnerabilidad afectaba al componente SSL-VPN y podía permitir la ejecución remota de comandos.

En junio de 2026 se ha descrito la circulación de un conjunto de credenciales asociadas a decenas de miles de dispositivos Fortinet accesibles desde Internet, incluidos portales VPN y firewalls utilizados por organizaciones de múltiples sectores.
Los afectados mencionados en esas coberturas son empresas y entidades cuyas credenciales habrían quedado expuestas, aunque la información observada parecía proceder de incidentes antiguos y de campañas de fuerza bruta, y no de una nueva vulnerabilidad.

Las informaciones apuntan a usuarios y organizaciones que mantenían expuestos a Internet dispositivos Fortinet con SSL-VPN que en un momento dado eran vulnerables o tenían credenciales débiles, lo que habría permitido accesos no autorizados, el robo de configuraciones, credenciales y la posterior circulación de credenciales asociadas a esos equipos, así como la instalación de puertas traseras. Si no se aplicaron las actualizaciones a los sistemas publicadas por Fortinet, rotando después contraseñas, revisando los registros de acceso y reforzando la autenticación con mecanismos multifactor, pueden seguir siendo vulnerables a través de las credenciales obtenidas en su momento.

Cabe destacar que el robo de credenciales se produjo en distintos momentos, y no todas las credenciales disponibles en el listado son válidas en el momento actual (por ejemplo, porque se haya cambiado después del robo de la misma), aunque desgraciadamente la mayoría de ellas parecen estar activas.

No obstante, hay que recordar que no es suficiente con cambiar las credenciales del listado, dado que también es crucial asegurar tanto que el firmware se encuentre actualizado como la inexistencia de puertas traseras. Por otro lado, existe la posibilidad de que se comprometieran asimismo credenciales de usuarios que utilizaran el dispositivo en el período de compromiso. Tanto de los propios dispositivos como del tráfico enrutado a través de los mismos, ya que los actores instalaban sistemas para el análisis de tráfico obteniendo en múltiples protocolos contraseñas y hashes para romper por fuerza bruta mediante el uso de GPU. También se han documentado casos de posteriores movimientos laterales a sistemas internos.

Las principales recomendaciones para las organizaciones listadas serían:

  • Cambiar todas las credenciales administrativas y de VPN de FortiGate.
  • Forzar autenticación multifactor en todas las interfaces de acceso remoto.
  • Asegurarse que las inferfaces de gestión no se encuentren expuestas en Internet.
  • Revisar los registros de gateway y autenticación en busca de actividad sospechosa.
     
Referencias