Tag: fortigate

Más de 600 dispositivos FortiGate comprometidos en un ciberataque global

Más de 600 dispositivos FortiGate han sido comprometidos en más de 55 países entre el 11 de enero y el 18 de febrero de 2026, según un reciente informe de Amazon Threat Intelligence.

Este ataque, que se caracteriza por su enfoque en la explotación de credenciales débiles expuestas en internet, resalta una creciente amenaza en el ámbito de la ciberseguridad, donde actores motivados económicamente utilizan herramientas de inteligencia artificial para llevar a cabo campañas de ciberataques a una escala que antes requería de un equipo más grande y especializado.

A por el objetivo más débil

El atacante se centró en la explotación de interfaces de gestión de FortiGate, realizando escaneos sistemáticos en diferentes puertos para identificar dispositivos con credenciales únicas o reutilizadas.

Una vez que obtuvieron acceso a los archivos de configuración, que incluían credenciales de usuario SSL-VPN y datos de redes internas, utilizaron scripts impulsados por inteligencia artificial para organizar y descifrar la información. Este enfoque oportunista se evidenció en la forma en que el actor atacó múltiples dispositivos pertenecientes a la misma entidad, lo que sugiere una planificación metódica, aunque no específica para sectores industriales.

A pesar de la magnitud del ataque, se observó que el perpetrador mostró limitaciones en sus habilidades, abandonando los objetivos con defensas efectivas. Esto indica que, aunque la técnica de la inteligencia artificial ha transformado el panorama del cibercrimen, la complejidad técnica sigue siendo un desafío.

Amazon advierte que las organizaciones con dispositivos FortiGate deben actuar con urgencia, eliminando las interfaces de administración expuestas y aplicando autenticación multifactor para mitigar riesgos potenciales.

Se recomienda auditar las actividades de Active Directory y estar atentos a patrones de autentificación inusuales que puedan indicar intentos de movimientos laterales en redes comprometidas. En este sentido, el uso de herramientas de código abierto por parte del actor amenaza la infraestructura crítica, y las empresas deben intensificar sus medidas de seguridad para proteger sus sistemas.

Los dispositivos FortiGate sin parchear siguen siendo vulnerables a hackers

Los cibercriminales están aprovechando una vulnerabilidad en los dispositivos Fortinet FortiGate que fue parcheada hace más de tres años, específicamente en julio de 2020. Este fallo, identificado como CVE-2020-12812, permite a los atacantes eludir la autenticación en dos pasos (2FA) en los firewalls, facilitando el acceso no autorizado a redes VPN y consolas de administración.

Auditar las configuraciones

El ataque se basa en un desacuerdo en la forma en que los dispositivos FortiGate manejan los nombres de usuario en comparación con los directorios LDAP, como Active Directory. Mientras que FortiGate considera los nombres de usuario sensibles a mayúsculas, la mayoría de los servidores LDAP los tratan sin distinción de caso. Esto significa que un usuario local con 2FA habilitado puede ser engañado si un atacante introduce variaciones en mayúsculas de su nombre de usuario, logrando así evitar el 2FA y acceder mediante credenciales LDAP válidas.

Fortinet, a través de su equipo de respuesta ante incidentes , ha alertado sobre estos ataques en su blog, instando a los administradores a auditar sus configuraciones inmediatamente. Se destaca la importancia de eliminar grupos LDAP para mitigar riesgos y de resetear todas las credenciales relacionadas. La compañía advierte que cualquier validación de LDAP exitosa después de fallos en las coincidencias locales es una señal de compromiso que puede conllevar un incremento en las amenazas de ransomware y movimientos laterales en la red.

A pesar de que se han implementado parches en las versiones de FortiOS 6.0.10, 6.2.4 y 6.4.1, existen dispositivos mal configurados o no actualizados aún en uso, lo que atrae a hackers oportunistas. Fortinet hace un llamado a las empresas para que refuercen sus políticas de privilegio mínimo y realicen auditorías regulares, ya que retardarse puede permitir que los atacantes exploten estas vulnerabilidades para comprometer sus sistemas.