{"id":1250,"date":"2026-06-19T16:32:27","date_gmt":"2026-06-19T16:32:27","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/cisa-advierte-a-los-clientes-de-fortinet-que-fortibleed-llega-a-86-644-dispositivos-fortigate-cyberdefensa-mx\/"},"modified":"2026-06-19T16:32:27","modified_gmt":"2026-06-19T16:32:27","slug":"cisa-advierte-a-los-clientes-de-fortinet-que-fortibleed-llega-a-86-644-dispositivos-fortigate-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/cisa-advierte-a-los-clientes-de-fortinet-que-fortibleed-llega-a-86-644-dispositivos-fortigate-cyberdefensa-mx\/","title":{"rendered":"CISA advierte a los clientes de Fortinet que FortiBleed llega a 86.644 dispositivos FortiGate \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/06\/18\/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure\">instado<\/a> Los clientes de Fortinet con dispositivos FortiGate deben tomar medidas para protegerse contra la actividad maliciosa continua dirigida a miles de dispositivos con acceso a Internet.<\/p>\n<p>La amplia campa\u00f1a, que se cree que es obra de actores de amenazas de habla rusa, ha recibido el nombre en c\u00f3digo <b>FortiBleed<\/b>. El n\u00famero de dispositivos comprometidos asciende a 86.644 al 19 de junio de 2026.<\/p>\n<p>Seg\u00fan datos de SOCRadar, las cuentas de administrador gen\u00e9ricas (35%) y las cuentas integradas del sistema Fortinet (28,3%) juntas constituyen la mayor\u00eda de las credenciales comprometidas. Las cuentas espec\u00edficas de la organizaci\u00f3n representan el 36,7% de las credenciales violadas restantes.<\/p>\n<p>\u00abEsto apunta directamente a una falla generalizada a la hora de cambiar el nombre de las cuentas predeterminadas o rotar las credenciales de f\u00e1brica, dando al atacante una lista de objetivos altamente confiable antes de que fuera necesaria cualquier fuerza bruta\u00bb, dijo SOCRadar.<\/p>\n<p>\u00abLas cuentas espec\u00edficas de organizaciones que encabezan la lista son significativas. Significa que el atacante no solo est\u00e1 recopilando credenciales predeterminadas sino que tambi\u00e9n ha comprometido con \u00e9xito cuentas creadas por las propias organizaciones, posiblemente provenientes de infracciones anteriores donde las contrase\u00f1as nunca se cambiaron\u00bb.<\/p>\n<p>Las telecomunicaciones, el gobierno y la educaci\u00f3n se han convertido en los tres sectores m\u00e1s afectados, con la mayor exposici\u00f3n ubicada en India, Estados Unidos, M\u00e9xico, Colombia y Tailandia.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se dice que el actor de amenazas escane\u00f3 masivamente Internet en busca de puntos finales de inicio de sesi\u00f3n remoto de Fortinet y luego emple\u00f3 una herramienta personalizada para rociar esos puntos finales identificados con combinaciones conocidas de inicio de sesi\u00f3n y contrase\u00f1a en un intento de ingresar a ellos.<\/p>\n<p>El ataque totalmente automatizado se basa en un enfoque autosostenible de dos pasos:<\/p>\n<ul>\n<li>El actor de amenazas intenta obtener una lista seleccionada de contrase\u00f1as de Fortinet filtradas en dispositivos a trav\u00e9s de Internet.<\/li>\n<li>Una vez obtenido el acceso, monitorean pasivamente el tr\u00e1fico de red que pasa por los dispositivos para recopilar credenciales adicionales, que luego se utilizan para comprometer m\u00e1s dispositivos.<\/li>\n<\/ul>\n<p>Las credenciales son leg\u00edtimas y v\u00e1lidas, y los atacantes verifican cada una de ellas antes de agregarlas a una base de datos de inicios de sesi\u00f3n confirmados y funcionales.<\/p>\n<p>\u00abLa magnitud de esta brecha afecta a casi todos los sectores de la econom\u00eda global, sin escatimar a ninguna industria\u00bb, Hudson Rock <a href=\"https:\/\/www.infostealers.com\/article\/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure\/\">dicho<\/a>. \u00abLos actores de amenazas han creado una base de datos verificada de credenciales de trabajo para algunas de las empresas m\u00e1s grandes del planeta\u00bb.<\/p>\n<p>El Centro Nacional de Seguridad Cibern\u00e9tica del Reino Unido (NCSC) ha <a href=\"https:\/\/www.ncsc.gov.uk\/news\/advice-following-global-targeting-of-fortinet-firewalls-and-vpn-gateways\">descrito<\/a> FortiBleed como una campa\u00f1a global dirigida a firewalls Fortinet y puertas de enlace VPN de Internet utilizando m\u00e9todos como fuerza bruta, ataque de diccionario y relleno de credenciales.<\/p>\n<p>Se sospecha que los actores de la amenaza probablemente explotaron mecanismos de hash de credenciales m\u00e1s antiguos y la forma en que hist\u00f3ricamente se han almacenado las credenciales dentro de los archivos de configuraci\u00f3n de FortiGate para llevar a cabo el ataque a gran escala.<\/p>\n<p>\u00abFortinet introdujo el hash de contrase\u00f1as basado en PBKDF2 para las credenciales de administrador en FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo de almacenamiento heredado basado en SHA-256\u00bb, Arctic Wolf <a href=\"https:\/\/arcticwolf.com\/resources\/blog\/active-fortibleed-campaign-impacting-fortinet-devices-across-194-countries\/\">dicho<\/a>. \u00abSin embargo, al actualizar desde versiones anteriores, las contrase\u00f1as de administrador existentes permanecen almacenadas como hashes SHA-256 hasta que el administrador correspondiente inicie sesi\u00f3n exitosamente despu\u00e9s de la actualizaci\u00f3n\u00bb.<\/p>\n<p>\u00abComo resultado, es probable que muchas organizaciones contin\u00faen almacenando credenciales de administrador utilizando SHA-256 m\u00e1s antiguo con mecanismos de hash de Salt\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>En una declaraci\u00f3n compartida con The Hacker News, un portavoz de Fortinet dijo que \u00ablos datos involucrados probablemente sean un intercambio de datos de incidentes anteriores, as\u00ed como fuerza bruta de credenciales, y no est\u00e1n relacionados con ning\u00fan incidente o aviso actual\u00bb, instando a las organizaciones a seguir las mejores pr\u00e1cticas, incluida la rotaci\u00f3n peri\u00f3dica de credenciales de seguridad y la habilitaci\u00f3n de la autenticaci\u00f3n multifactor (MFA).<\/p>\n<p>CISA ha esbozado las siguientes recomendaciones para defenderse de la actividad:<\/p>\n<ul>\n<li>Termine todas las sesiones administrativas y VPN SSL activas, restablezca todas las contrase\u00f1as administrativas y VPN de Fortinet, especialmente en sistemas con acceso a Internet, y aplique pol\u00edticas de contrase\u00f1as seguras.<\/li>\n<li>Aseg\u00farese de utilizar la funci\u00f3n de derivaci\u00f3n de clave basada en contrase\u00f1a 2 (<a href=\"https:\/\/community.fortinet.com\/fortigate-3\/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652\">PBKDF2<\/a>) algoritmo para almacenar credenciales de administrador y eliminar hashes heredados m\u00e1s d\u00e9biles.<\/li>\n<li>Revise los registros de firewall, VPN, autenticaci\u00f3n y controlador de dominio para detectar signos de acciones sospechosas, incluidos cambios de configuraci\u00f3n no autorizados.<\/li>\n<li>Habilite MFA resistente al phishing en todas las puertas de enlace externas e interfaces administrativas.<\/li>\n<li>Reduzca la superficie de ataque y bloquee la gesti\u00f3n.<\/li>\n<\/ul>\n<p>El incidente de FortiBleed sali\u00f3 a la luz por primera vez la semana pasada despu\u00e9s de que el investigador de seguridad Volodymyr \u00abBob\u00bb Diachenko descubriera un servidor que conten\u00eda la base de datos de credenciales de inicio de sesi\u00f3n en funcionamiento para miles de firewalls y puertas de enlace VPN en 194 pa\u00edses. Seg\u00fan SOCRadar, el servidor tambi\u00e9n organiz\u00f3 las herramientas y los scripts de automatizaci\u00f3n del atacante.<\/p>\n<p>Los hallazgos demuestran una vez m\u00e1s c\u00f3mo la reutilizaci\u00f3n de credenciales y la mala higiene de las contrase\u00f1as pueden ser utilizadas como armas por actores maliciosos, sin mencionar que los dispositivos de seguridad perimetral siguen siendo un objetivo lucrativo para obtener acceso inicial a entornos empresariales.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves instado Los clientes de Fortinet con dispositivos FortiGate deben tomar medidas para protegerse contra la actividad maliciosa continua dirigida a miles de dispositivos con acceso a Internet. La amplia campa\u00f1a, que se cree que es obra de actores de amenazas de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[51,100,759,24,694,3208,379,1568,1793,52],"class_list":["post-1250","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-advierte","tag-cisa","tag-clientes","tag-cyberdefensa-mx","tag-dispositivos","tag-fortibleed","tag-fortigate","tag-fortinet","tag-llega","tag-los"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1250"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1250\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}