{"id":207,"date":"2026-03-10T18:21:44","date_gmt":"2026-03-10T18:21:44","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/dispositivos-fortigate-explotados-para-violar-redes-y-robar-credenciales-de-cuentas-de-servicio-cyberdefensa-mx\/"},"modified":"2026-03-10T18:21:44","modified_gmt":"2026-03-10T18:21:44","slug":"dispositivos-fortigate-explotados-para-violar-redes-y-robar-credenciales-de-cuentas-de-servicio-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/dispositivos-fortigate-explotados-para-violar-redes-y-robar-credenciales-de-cuentas-de-servicio-cyberdefensa-mx\/","title":{"rendered":"Dispositivos FortiGate explotados para violar redes y robar credenciales de cuentas de servicio \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a en la que los actores de amenazas est\u00e1n abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las v\u00edctimas. <\/p>\n

La actividad implica la explotaci\u00f3n de vulnerabilidades de seguridad recientemente reveladas o credenciales d\u00e9biles para extraer archivos de configuraci\u00f3n que contienen credenciales de cuentas de servicio e informaci\u00f3n de topolog\u00eda de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campa\u00f1a ha se\u00f1alado entornos vinculados a la atenci\u00f3n m\u00e9dica, el gobierno y los proveedores de servicios administrados.<\/p>\n

\u00abLos dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados\u00bb, afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho<\/a>. \u00abEn muchas configuraciones, esto incluye cuentas de servicio que est\u00e1n conectadas a la infraestructura de autenticaci\u00f3n, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEsta configuraci\u00f3n puede permitir que el dispositivo asigne roles a usuarios espec\u00edficos al obtener atributos sobre la conexi\u00f3n que se est\u00e1 analizando y correlacionando con la informaci\u00f3n del Directorio, lo cual es \u00fatil en casos donde se establecen pol\u00edticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo\u00bb.<\/p>\n

Sin embargo, la empresa de ciberseguridad se\u00f1al\u00f3 que dicho acceso podr\u00eda ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a trav\u00e9s de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.<\/p>\n

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada \u00absoporte\u00bb y la usaron para configurar cuatro nuevas pol\u00edticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricci\u00f3n.<\/p>\n

Luego, el actor de la amenaza sigui\u00f3 comprobando peri\u00f3dicamente para asegurarse de que el dispositivo fuera accesible, una acci\u00f3n consistente con un corredor de acceso inicial (IAB) que establec\u00eda un punto de apoyo y lo vend\u00eda a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detect\u00f3 en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuraci\u00f3n que conten\u00eda las credenciales LDAP cifradas de la cuenta de servicio.<\/p>\n

\u00abLa evidencia demuestra que el atacante se autentic\u00f3 en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifr\u00f3 el archivo de configuraci\u00f3n y extrajo las credenciales de la cuenta de servicio\u00bb, dijo SentinelOne.<\/p>\n

Luego, el atacante aprovech\u00f3 la cuenta de servicio para autenticarse en el entorno de la v\u00edctima e inscribir estaciones de trabajo no autorizadas en el AD, permiti\u00e9ndoles un acceso m\u00e1s profundo. Despu\u00e9s de este paso, se inici\u00f3 el escaneo de la red, momento en el que se detect\u00f3 la infracci\u00f3n y se detuvo el movimiento lateral adicional.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En otro caso investigado a finales de enero de 2026, los atacantes pasaron r\u00e1pidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Adem\u00e1s, el actor de amenazas descarg\u00f3 malware de un dep\u00f3sito de almacenamiento en la nube a trav\u00e9s de PowerShell desde la infraestructura de Amazon Web Services (AWS).<\/p>\n

El malware Java, lanzado mediante carga lateral de DLL, se utiliz\u00f3 para filtrar el contenido del archivo NTDS.dit y la secci\u00f3n de registro del SISTEMA a un servidor externo (\u00ab172.67.196[.]232\u00bb) sobre el puerto 443.<\/p>\n

\u00abSi bien es posible que el actor haya intentado descifrar contrase\u00f1as a partir de los datos, no se identific\u00f3 dicho uso de credenciales entre el momento de la recolecci\u00f3n de credenciales y la contenci\u00f3n del incidente\u00bb, agreg\u00f3 SentinelOne.<\/p>\n

\u00abLos dispositivos NGFW se han vuelto omnipresentes porque brindan s\u00f3lidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras caracter\u00edsticas de administraci\u00f3n, como AD\u00bb, agreg\u00f3. \u00abSin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivaci\u00f3n financiera como el ransomware\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a en la que los actores de amenazas est\u00e1n abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las v\u00edctimas. La actividad implica la explotaci\u00f3n de vulnerabilidades de seguridad recientemente reveladas o credenciales d\u00e9biles para extraer […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[469,704,24,694,702,379,36,153,703,464,220],"class_list":["post-207","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-credenciales","tag-cuentas","tag-cyberdefensa-mx","tag-dispositivos","tag-explotados","tag-fortigate","tag-para","tag-redes","tag-robar","tag-servicio","tag-violar"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=207"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/207\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}