☠️ La alerta que no podemos ignorar
Esta semana me enteré por un Reel de Alexis Campos (@alexiscampos.cl) de algo que me dejó helado: FortiBleed. Una campaña de ciberataques que comprometió más de 74.000 firewalls y VPNs Fortinet en 194 países, incluyendo Chile. Lo peor no es solo el número, es qué se robó: usuarios, correos y contraseñas en texto plano de dispositivos que deberían ser la puerta de seguridad de las empresas.
«Lo más grave: muchas de esas contraseñas eran largas y complejas. Y aun así las robaron.»
Como engineer que trabaja con sistemas críticos (Komatsu AHS), esto me toca de cerca. Si usas Fortinet en tu empresa, esto te interesa directamente. Y si no usas Fortinet, igual te interesa: tus proveedores, clientes o socios podrían estar comprometidos.
—
🔍 Qué es FortiBleed
FortiBleed no es una vulnerabilidad nueva, es el resultado de una campaña automatizada que explotó múltiples fallas de seguridad en dispositivos Fortinet expuestos a Internet. La base de datos filtrada contiene:
Las vulnerabilidades detrás del caos
| CVE | Descripción | Severidad |
|—–|————-|———–|
| CVE-2024-55591 | Authentication bypass en Node.js WebSocket → super-admin privileges | CVSS 9.8 CRITICAL |
| CVE-2025-24472 | Authentication bypass en CSF proxy requests | CRITICAL |
| CVE-2022-40684 | Authentication bypass en FortiOS/FortiProxy | CRITICAL |
| CVE-2023-27997 | Heap-based buffer overflow en SSL-VPN | CRITICAL |
La más grave es CVE-2024-55591: un atacante remoto, sin autenticarse, podía obtener privilegios de super-administrador enviando requests crafted al módulo WebSocket de Node.js. Desde noviembre de 2024 está siendo explotada activamente.
—
🌎 El impacto en Chile
Chile está en la lista de países afectados. Según los comentarios del Reel de Alexis Campos, empresas como Entel actualizaron masivamente equipos a Fortinet, lo que aumenta la superficie de ataque.
Empresas de alto perfil comprometidas globalmente
| Empresa | Industria | Credenciales expuestas |
|———|———–|———————-|
| Samsung | Electrónica | 2 |
| Oracle | Software Enterprise | 1 |
| Huawei | Telecomunicaciones | 1 |
| Siemens | Manufactura | 6 |
| Spotify | Streaming | 1 |
| FedEx | Logística | 1 |
| Mercado Libre | E-commerce | 1 |
| Claro Argentina | Telecom | 41 |
| Orange Francia | Telecom | 10 |
41 credenciales para Claro Argentina y 10 para Orange Francia indican que los atacantes no solo entraron, sino que se movieron lateralmente dentro de esas redes.
—
🛠️ Qué hacen los atacantes
Según Fortinet y Arctic Wolf, el patrón de ataque observado es:
1. Bypass de autenticación → acceso admin sin credenciales
2. Creación de cuentas admin con nombres aleatorios (`Gujhmk`, `Ed8x4k`, `watchTowr`)
3. Creación de usuarios VPN para acceso remoto persistente
4. Modificación de políticas de firewall para abrir caminos a la red interna
5. Login SSL-VPN → túnel hacia la red interna
IPs de atacantes conocidas (para bloquear)
«`
45.55.158.47 ← más usada
87.249.138.47
155.133.4.175
37.19.196.65
149.22.94.37
158.255.215.126
«`
—
🔧 Qué hacer HOY si usas Fortinet
1. Verifica si estás afectado
Hudson Rock tiene una base de datos pública:
También puedes verificar tu dominio específico:
«`
https://www.hudsonrock.com/search/domain/tu-dominio.cl
«`
2. Aplica los parches AHORA
| Producto | Versión vulnerable | Versión segura |
|———-|——————-|—————-|
| FortiOS 7.0 | 7.0.0 – 7.0.16 | 7.0.17+ |
| FortiProxy 7.0 | 7.0.0 – 7.0.19 | 7.0.20+ |
| FortiProxy 7.2 | 7.2.0 – 7.2.12 | 7.2.13+ |
3. Si no puedes parchar ahora, haz esto
Opción A: Desactivar interfaz admin HTTP/HTTPS
Opción B: Restringir acceso con local-in policies
«`bash
# Crear objeto de direcciones permitidas
config firewall address
edit «admin_trusted_ips»
set subnet 192.168.1.0/24 # tu red admin
end
# Crear grupo
config firewall addrgrp
edit «MGMT_IPs»
set member «admin_trusted_ips»
end
# Política: permitir solo IPs de confianza
config firewall local-in-policy
edit 1
set intf port1
set srcaddr «MGMT_IPs»
set dstaddr «all»
set action accept
set service HTTPS HTTP
set schedule «always»
set status enable
next
edit 2
set intf «any»
set srcaddr «all»
set dstaddr «all»
set action deny
set service HTTPS HTTP
set schedule «always»
set status enable
end
«`
4. Cambia TODAS las contraseñas
5. Revisa logs de noviembre 2024 a hoy
Busca:
«`bash
# Ejemplo de log sospechoso (admin login desde jsconsole)
type=»event» subtype=»system» level=»information»
logdesc=»Admin login successful» user=»admin»
ui=»jsconsole» method=»jsconsole» action=»login»
status=»success» profile=»super_admin»
«`
—
🧪 Mi experiencia verificando dominios
Como experimento, verifiqué mis propios dominios en Hudson Rock para ver si aparecían en la filtración:
| Dominio | Estado |
|———|——–|
| Mi dominio principal | ✅ Limpio |
| Mi blog técnico | ✅ Limpio |
| Mi proyecto personal | ✅ Limpio |
| Mi sitio de asesorías | ✅ Limpio |
Ninguno aparece en la filtración. Pero esto no significa que estemos seguros: la base de datos solo cubre lo que se ha filtrado públicamente. Si tienes Fortinet en algún cliente o infraestructura, verifica directamente en el equipo.
—
📚 Recursos y referencias
—
💬 Conclusión
FortiBleed demuestra algo que sabemos pero ignoramos: los dispositivos de seguridad también tienen vulnerabilidades. Un firewall Fortinet mal configurado o sin parches no es una protección, es una puerta abierta con llave en la cerradura.
Si eres sysadmin, auditor, o simplemente te preocupa la seguridad de tu empresa:
1. Verifica si usas Fortinet
2. Parcha lo antes posible
3. Restringe el acceso admin a IPs de confianza
4. Activa MFA en todo
5. Monitorea logs de noviembre 2024 en adelante
Y si no tienes Fortinet, esto igual te afecta indirectamente: tus proveedores, clientes o socios podrían estar comprometidos. La seguridad es una cadena, y FortiBleed acaba de demostrar que los eslabones más fuertes también pueden romperse.
—
¿Usas Fortinet en tu empresa? ¿Verificaste si estás afectado? Cuéntame en los comentarios o en Telegram.
Publicado el 18 de junio de 2026. Actualizado con información de Hudson Rock, Fortinet PSIRT y CISA.
