Si tu empresa usa un firewall Fortinet FortiGate, el más común en empresas medianas de México, hay una probabilidad real de que tus contraseñas de administrador ya estén en manos de atacantes.
Investigadores de SOCRadar descubrieron el servidor operativo de un grupo criminal que ha comprometido firewalls Fortinet a escala industrial: encontraron las herramientas, la automatización y las credenciales verificadas de más de 86,000 dispositivos FortiGate en 194 países. México, junto con India y Estados Unidos, está entre los tres países más afectados. CISA emitió una alerta urgente el 18 de junio y Fortinet publicó su análisis confirmando la situación.
La campaña, bautizada FortiBleed, se alimenta a sí misma: los atacantes prueban contraseñas de brechas anteriores que nunca fueron cambiadas y, una vez dentro, usan el firewall comprometido para capturar más credenciales del tráfico VPN. Incluso contraseñas complejas de más de 25 caracteres aparecieron en texto plano, extraídas de infecciones previas de malware. Una contraseña fuerte que ya fue robada protege exactamente igual que una débil. La campaña sigue activa.
Para una PyME mexicana, esto significa que un atacante podría tener acceso directo a tu red ahora mismo, el mismo tipo de acceso que grupos de ransomware como VECT 2.0 aprovechan para entrar a las empresas antes de destruir sus datos.
Termina todas las sesiones administrativas y de VPN activas en tus dispositivos FortiGate y restablece todas las contraseñas, tanto de administración como de usuarios VPN. Implementa MFA en todas las cuentas de administrador y usuario de VPN sin excepción. Actualiza a FortiOS 7.4, 7.6 u 8.0, que usan el cifrado PBKDF2 para almacenar credenciales de forma más segura. Valida que no hayan creado cuentas no autorizadas en tu firewall: busca nombres como "forticloud", "fortiuser" o "fortinet-support", que son los que usan los atacantes. Revisa los registros de acceso buscando conexiones de administrador desde IPs desconocidas o movimientos laterales hacia tu controlador de dominio. Y lo más importante: restringe la administración externa de tus dispositivos, a través de hosts confiables (bueno), una política local-in (mejor), o elimina la administración desde internet por completo (lo ideal).
¿Quieres verificar si tu empresa está expuesta? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.
Fuentes:
- SOCRadar, "FortiBleed: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak" — socradar.io, junio 2026
- CISA, "CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure" — cisa.gov, 18 de junio de 2026
- Fortinet, "Analysis of Reported Credential Compromise of FortiGate Devices" — fortinet.com, junio 2026
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com