Hackers comprometen 73.000 firewalls de Fortinet en una campaña global de robo de credenciales
Una campaña criminal informática a gran escala ha comprometido más de 73.000 dispositivos firewall y VPN de Fortinet en todo el mundo, con víctimas confirmadas que abarcan algunas de las empresas más grandes del mundo. La operación, que los investigadores han denominado "FortiBleed", utilizó herramientas de escaneo automatizadas para identificar dispositivos Fortinet expuestos y luego explotó credenciales previamente conocidas — no vulnerabilidades nuevas — para obtener acceso.
Cómo funcionó el ataque
En lugar de depender de exploits zero-day, los atacantes construyeron un bucle auto-reforzante: escáneres automatizados buscaron en internet dispositivos Fortinet expuestos, probaron contraseñas filtradas conocidas para ingresar, y luego usaron su acceso para recolectar credenciales frescas desde el interior de cada red. Esas credenciales recién recolectadas se retroalimentaron a la operación de escaneo para comprometer objetivos adicionales, amplificando el alcance de la campaña con el tiempo.
La firma de investigación de seguridad Hudson Rock identificó más de 73.000 URL únicos de Fortinet comprometidos, mientras que SOCRadar confirmó de forma independiente más de 30.000 dispositivos hackeados — lo que sugiere que la escala total podría estar entre esas estimaciones o que ambos investigadores están observando conjuntos de datos parcialmente superpuestos de diferentes fuentes.
Quiénes resultaron afectados
Los países más afectados son India, Estados Unidos, Taiwán y México. Las industrias más golpeadas incluyen servicios IT, telecomunicaciones, materiales de construcción y agencias gubernamentales. Entre las víctimas confirmadas se encuentran Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC — una muestra representativa de grandes empresas globales que dependen de los productos Fortinet para la seguridad perimetral de la red.
Los atacantes obtuvieron acceso a las credenciales y pudieron monitorear el tráfico que pasaba a través de los dispositivos comprometidos, lo que les dio un punto de apoyo persistente dentro de las redes corporativas afectadas.
Respuesta de Fortinet
Fortinet minimizó la gravedad de la campaña. Un portavoz de la empresa dijo a TechCrunch que la firma "está al tanto de una campaña de recolección de credenciales de terceros reportada", pero calificó el incidente como "una redistribución de datos de incidentes anteriores, así como la obtención por fuerza bruta de credenciales", añadiendo que "no está relacionado con ningún incidente o aviso reciente". La empresa no abordó la escala de víctimas corporativas confirmadas ni la técnica de amplificación del bucle de credenciales.
Qué significa esto para la seguridad empresarial
La campaña de Fortinet subraya un punto ciego persistente en la seguridad empresarial: los dispositivos perimetrales — firewalls, VPNs y dispositivos de red — son a menudo los sistemas menos parcheados en una organización. Están en el borde de la red, expuestos a internet, sin embargo muchas organizaciones no rotan las credenciales regularmente ni monitorean específicamente el acceso no autorizado en estos dispositivos. Cuando un atacante compromete un firewall, obtiene un punto de vista privilegiado para observar todo el tráfico que pasa a través de la red, incluyendo sesiones de autenticación y datos sensibles.
Los equipos de seguridad deben auditar todos los dispositivos Fortinet en busca de señales de acceso no autorizado, rotar las credenciales en cualquier dispositivo potencialmente expuesto y habilitar la autenticación multifactor en el acceso VPN siempre que sea posible. El incidente fue reportado originalmente por Lorenzo Franceschi-Bicchierai en TechCrunch.
Originally reported by TechCrunch. Read the original article for additional details.
View original source