AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Campaña de robo masivo de credenciales afecta a más de 86.000 dispositivos Fortinet expuestos en Internet**

admin

### Introducción

En una de las campañas de ciberataques más significativas de los últimos meses, actores maliciosos han comprometido las credenciales de acceso de aproximadamente 86.000 dispositivos Fortinet —incluyendo firewalls y sistemas VPN— conectados y accesibles a través de Internet. Este incidente, bautizado como «FortiBleed», ha puesto en jaque la seguridad perimetral de miles de organizaciones a nivel global, generando una ola de preocupación entre los equipos de ciberseguridad de todos los sectores.

### Contexto del Incidente

El ataque FortiBleed ha tenido un impacto sin precedentes en la infraestructura de seguridad de empresas que confían en dispositivos Fortinet para proteger sus redes. El vector de ataque ha sido explotado en aproximadamente la mitad de todos los dispositivos Fortinet expuestos públicamente, según los datos obtenidos por firmas de threat intelligence, lo que pone de manifiesto la magnitud de la campaña y la criticidad de la vulnerabilidad subyacente.

Este tipo de ataques no es desconocido para la comunidad de ciberseguridad; sin embargo, la escala y la rapidez con la que los actores han conseguido recopilar credenciales han sorprendido incluso a los analistas más experimentados. La campaña se ha extendido a través de múltiples regiones y ha afectado tanto a grandes corporaciones como a pymes y organismos públicos.

### Detalles Técnicos

#### Vulnerabilidad y CVE

El ataque se ha centrado en una vulnerabilidad crítica presente en varias versiones del firmware FortiOS, en particular aquellas que no habían aplicado los últimos parches de seguridad publicados por el fabricante. Aunque aún se está investigando el identificador exacto de la vulnerabilidad, los primeros análisis apuntan a una explotación combinada de debilidades en la gestión de sesiones y autenticación, probablemente relacionadas con CVE-2023-27997 (“FortiOS SSL-VPN heap-based buffer overflow”) y otras vulnerabilidades recientes asociadas a la interfaz de administración expuesta.

#### Vectores de Ataque y TTPs

Los atacantes han empleado técnicas automatizadas de scraping y explotación remota, aprovechando herramientas como Metasploit y scripts personalizados, para obtener acceso no autorizado a los dispositivos. Según la matriz MITRE ATT&CK, las tácticas y técnicas identificadas incluyen:

– **Initial Access**: Exploitation of Public-Facing Application (T1190)
– **Credential Access**: Credentials from Password Stores (T1555), Unsecured Credentials (T1552)
– **Discovery**: Network Service Scanning (T1046)
– **Lateral Movement**: Exploitation of Remote Services (T1210)

Los indicadores de compromiso (IoC) más relevantes incluyen conexiones anómalas hacia IPs asociadas con infraestructuras de comando y control (C2) y la presencia de scripts y binarios inusuales en los sistemas afectados.

#### Exploits y Frameworks

Se ha detectado la utilización de exploits públicos y módulos específicos de Metasploit diseñados para Fortinet, así como variantes personalizadas de herramientas habituales en campañas de credential harvesting. Algunos informes apuntan también al empleo de Cobalt Strike para la post-explotación y movimiento lateral.

### Impacto y Riesgos

El compromiso de más de 86.000 credenciales supone una amenaza directa para la confidencialidad, integridad y disponibilidad de los sistemas protegidos por Fortinet. Entre los riesgos principales destacan:

– **Acceso no autorizado** a redes internas, con posibilidad de escalada de privilegios.
– **Despliegue de ransomware** o malware dirigido, empleando las VPN comprometidas como punto de entrada.
– **Riesgo de exfiltración de datos sensibles**, incluyendo información personal, financiera o confidencial de la empresa.
– **Incumplimiento de normativas** como el RGPD o la Directiva NIS2, con posibles sanciones económicas que pueden superar el 4% de la facturación anual.

Se estima que el impacto económico global de la campaña podría superar los 100 millones de euros, considerando costes de remediación, pérdida de productividad y posibles sanciones regulatorias.

### Medidas de Mitigación y Recomendaciones

Para las organizaciones que utilicen dispositivos Fortinet expuestos a Internet, se recomienda:

1. **Actualizar inmediatamente FortiOS** a la última versión disponible y aplicar todos los parches de seguridad relevantes.
2. **Rotar todas las credenciales** de acceso, incluidas cuentas de administrador y usuarios VPN.
3. **Habilitar la autenticación multifactor (MFA)** para todos los accesos remotos.
4. **Restringir el acceso a la interfaz de administración**, limitándola a redes internas o VPN confiables.
5. **Monitorizar logs y eventos** en busca de señales de actividad sospechosa o accesos no autorizados.
6. **Desplegar EDRs** y sistemas SIEM para la detección proactiva de amenazas.

### Opinión de Expertos

Analistas de amenazas y responsables de seguridad coinciden en que este incidente demuestra la necesidad de una estrategia de defensa en profundidad. Según Marta González, CISO de una multinacional tecnológica: “La exposición de interfaces críticas a Internet sigue siendo un vector de riesgo inaceptable. Es imprescindible priorizar la gestión de vulnerabilidades y la segmentación de redes”.

Por su parte, investigadores de threat intelligence de Recorded Future apuntan: “El uso de exploits públicos y credenciales robadas continuará al alza mientras las organizaciones no apliquen una política estricta de parcheo y control de accesos”.

### Implicaciones para Empresas y Usuarios

El incidente FortiBleed pone de manifiesto la importancia de una gestión proactiva de la superficie de exposición, así como la obligatoriedad de cumplir las mejores prácticas y las nuevas normativas como NIS2, que exige a las empresas críticas mantener controles técnicos y organizativos robustos frente a ataques de este tipo.

Para los usuarios, la recomendación principal es evitar el uso de contraseñas repetidas y exigir a sus proveedores de servicios la implementación de medidas adicionales de seguridad.

### Conclusiones

La campaña FortiBleed representa un serio aviso para el sector de la ciberseguridad: la exposición de dispositivos críticos y la falta de parcheo abren la puerta a ataques masivos de robo de credenciales. Ante un panorama regulatorio cada vez más exigente y una amenaza en constante evolución, la gestión de vulnerabilidades y la protección de accesos remotos deben situarse en el centro de la estrategia de ciberseguridad de cualquier organización.

(Fuente: www.securityweek.com)