La pesadilla de la seguridad enterprise que nadie vio venir
Hoy me desperté con una noticia que me hizo revisar de inmediato si algún cliente mÃo usa Fortinet. Resulta que un grupo de amenazas de habla rusa filtró credenciales de 73.932 firewalls FortiGate en 194 paÃses. Y sÃ, Chile está entre los top 10 afectados. Weón, esto es grave.
¿Qué pasó exactamente?
El investigador de seguridad Bob Diachenko descubrió un servidor expuesto con credenciales válidas de VPN Fortinet. No eran hashes cualquiera: eran contraseñas en texto plano, obtenidas aparentemente interceptando hashes SSL VPN y crackeándolos con un cluster de 45 GPUs gestionado por Hashtopolis.
El grupo hizo 1.160 millones de intentos contra firewalls FortiGate y 2.100 millones contra servidores Microsoft SQL Server. Eso no es un ataque casual, es una operación industrial.
¿Quién está afectado?
Empresas como Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, PwC, Accenture y Oracle aparecen en la lista. También hay un contratista de defensa NATO en TurquÃa que perdió documentos clasificados. En total, el 50% de todos los firewalls Fortinet accesibles desde internet (según Shodan) podrÃa estar comprometido.
Lo que me preocupa personalmente es que muchas de estas contraseñas eran largas y complejas. No es que las empresas usaban «123456». El atacante interceptó hashes y las rompió computacionalmente. Eso significa que ni siquiera una buena polÃtica de passwords te salva si tu infraestructura tiene vulnerabilidades subyacentes.
¿Qué hacer ahora?
Si eres responsable de seguridad en alguna empresa, esto es lo que tenés que hacer ya:
- Rotar todas las contraseñas de administración Fortinet y VPN.
- Forzar MFA en todas las interfaces Fortinet. Sin excepciones.
- Revisar logs de gateways en busca de actividad sospechosa.
- Chequear si tu dominio aparece en la herramienta de búsqueda de Hudson Rock.
Mi opinión
Esta noticia me confirma algo que vengo pensando hace rato: la seguridad perimetral tradicional está muerta. Los firewalls VPN siguen siendo necesarios, pero confiar en que una contraseña compleja + MFA es suficiente ya no alcanza. Necesitamos arquitectura zero-trust, segmentación de redes, y asumir que todo puede ser comprometido.
Además, me llama la atención que Fortinet no haya detectado esto antes. Si un cluster de 45 GPUs estuvo crackeando hashes a escala global, ¿no deberÃan haber visto patrones anómalos de autenticación? La respuesta es sÃ, deberÃan. Pero acá estamos.
En resumen: si usas Fortinet en tu empresa, actuá hoy. No esperes al comunicado oficial. La data es real, fue verificada independientemente por Kevin Beaumont, y la mayorÃa de los dispositivos afectados siguen online con las mismas credenciales expuestas.
¿Tenés Fortinet en tu pega? ¿Ya revisaste si aparecés en la lista? Contame en los comentarios.
Fuente de inspiración: FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
