Una filtración masiva bautizada FortiBleed dejó al descubierto credenciales de acceso VPN de alrededor de 73.000 firewalls Fortinet FortiGate repartidos en 194 países, según el análisis publicado el 17 de junio de 2026 por la firma de inteligencia Hudson Rock. Entre las organizaciones alcanzadas aparecen nombres como Oracle, Lenovo, FedEx y la propia Fortinet, además de un contratista de defensa vinculado a la OTAN.
Qué se filtró
Los datos expuestos incluyen nombres de usuario, direcciones de correo y contraseñas de acceso administrativo a dispositivos FortiGate —los firewalls que controlan el perímetro de red de miles de organizaciones—. El hallazgo inicial corresponde al investigador Volodymyr Diachenko, que detectó un servidor con credenciales válidas, y fue verificado de manera independiente por el investigador Kevin Beaumont. Hudson Rock acuñó el nombre «FortiBleed» al agregar y catalogar el conjunto: 73.932 URLs de firewall únicas comprometidas.
De dónde salieron las credenciales
Acá conviene la cautela: el vector inicial exacto no está del todo claro en los primeros reportes. Lo que sí describen los investigadores es una convergencia de factores —credenciales reutilizadas que ya circulaban en bases de datos de malware tipo infostealer, dispositivos sin parchear y hashes de autenticación SSL VPN crackeados fuera de línea— combinada con campañas automatizadas de credential stuffing contra cientos de miles de equipos FortiGate expuestos a internet. Un dato clave: muchas contraseñas largas y complejas quedaron comprometidas sin necesidad de crackeo, simplemente porque ya figuraban tal cual en datos robados previamente por infostealers. La complejidad de la contraseña, por sí sola, no sirvió de defensa.
Qué hacer si operás FortiGate
El riesgo inmediato es serio: una credencial válida de administración da control sobre el firewall que filtra todo el tráfico, y habilita el movimiento lateral hacia la red interna. Las recomendaciones de los investigadores son directas: activar autenticación multifactor (MFA) en todos los accesos VPN y administrativos —las contraseñas filtradas no alcanzan si hay un segundo factor—, rotar las credenciales de los usuarios administrativos, revisar los logs de acceso VPN desde junio de 2026, aplicar los parches pendientes de FortiOS y verificar la exposición en las herramientas que publicó Hudson Rock.
El perímetro ya no se sostiene solo con contraseñas
FortiBleed vuelve a mostrar que, en la era de los infostealers, una contraseña robusta puede estar igual de quemada que una débil si terminó en un log de malware. Para las organizaciones de la región que apoyan su acceso remoto en gateways Fortinet, el MFA dejó de ser opcional y la higiene de credenciales pasa a ser una tarea continua, no un evento puntual. ¿Tenés MFA obligatorio en todos tus accesos VPN administrativos? Te leemos en los comentarios.
Fuentes
- BleepingComputer — FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
- TechCrunch — Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies
- The Register — Massive password-stealing attack hits 75k Fortinet firewalls
