310 empresas cayeron sin un solo hackeo. Las brechas en Fortinet abrieron todas las puertas a Qilin — incluso las de emergencia

Los operadores del ransomware Qilin —también conocidos como Phantom Mantis— han comenzado a explotar activamente vulnerabilidades críticas en productos de Fortinet para infiltrarse en redes internas de organizaciones y ejecutar código malicioso. La nueva campaña, activa desde mayo de 2025, ya ha afectado infraestructura en países hispanohablantes, aunque según expertos, la elección de víctimas sigue siendo más oportunista que geográficamente definida.

Qilin apareció en la escena del cibercrimen en agosto de 2022 bajo el nombre de Agenda. Desde entonces, el grupo ha promovido su actividad bajo el modelo RaaS —ransomware como servicio— y publica los datos de las empresas afectadas en su propio portal en la dark web. Para 2025, la lista de organizaciones comprometidas supera los 310 nombres, incluyendo marcas e instituciones destacadas.

Entre las víctimas se encuentran el consorcio automotriz transnacional Yangfeng, la gran editorial estadounidense Lee Enterprises, el sistema judicial del estado de Victoria en Australia y el laboratorio médico Synnovis. Este último caso ha sido particularmente grave: el ataque comprometió varios hospitales principales del NHS en Londres, lo que provocó la cancelación de cientos de operaciones y citas médicas.

Según la empresa suiza PRODAFT, Qilin ha lanzado una nueva serie de ataques, automatizando algunas fases del proceso y centrándose en la explotación de fallos en soluciones de Fortinet. En concreto, se trata de las vulnerabilidades CVE-2024-21762 y CVE-2024-55591, ambas críticas, que afectan a FortiOS y FortiProxy, permitiendo eludir la autenticación y ejecutar comandos de forma remota con privilegios de sistema.

Uno de los indicios clave es que la CVE-2024-55591 ya se había utilizado anteriormente en ataques de día cero. En noviembre de 2024, esta vulnerabilidad fue utilizada para comprometer firewalls FortiGate. Posteriormente, sirvió como punto de entrada para propagar el malware SuperBlack, vinculado al grupo LockBit, uno de los actores más notorios del cibercrimen. Esta relación fue confirmada por expertos de la empresa Forescout.

Por su parte, la CVE-2024-21762 fue corregida por Fortinet en febrero del presente año. La agencia estadounidense CISA incluyó rápidamente esta falla en su catálogo de vulnerabilidades activamente explotadas y ordenó a todas las agencias federales actualizar sus dispositivos afectados antes del 16 de febrero. Sin embargo, un mes después, la Fundación Shadowserver descubrió que alrededor de 150 mil dispositivos en todo el mundo seguían sin estar protegidos.

PRODAFT destaca que Qilin no se limita a un sector o país específico, aunque actualmente se observa una mayor actividad contra organizaciones en regiones de habla hispana. Los investigadores suponen que esto puede deberse tanto a la facilidad de localización como a configuraciones vulnerables en las redes objetivo.

Fortinet se ha convertido en los últimos años en uno de los puntos más vulnerables de la infraestructura TI corporativa. Sus productos se utilizan habitualmente para construir el perímetro externo de seguridad —y al mismo tiempo, son blanco frecuente de campañas de ciberespionaje. A menudo, estas campañas aprovechan vulnerabilidades desconocidas (0-day), lo que las hace especialmente peligrosas.

En febrero, Fortinet reconoció oficialmente que el grupo de hackers chino Volt Typhoon había explotado dos vulnerabilidades en FortiOS SSL VPN —CVE-2022-42475 y CVE-2023-27997— para distribuir su troyano remoto Coathanger. Este malware fue posteriormente detectado en la red del Ministerio de Defensa de los Países Bajos, donde funcionaba como backdoor y permitía acceso persistente no autorizado.

El problema radica en que las vulnerabilidades de Fortinet no solo permiten la intrusión en la red, sino también evadir todos los mecanismos estándar de autenticación, haciéndose pasar por un usuario legítimo. Esto crea condiciones ideales para desplegar ransomware, especialmente si el ataque ocurre durante fines de semana o en horarios nocturnos, cuando la supervisión del SOC es mínima.

La nueva actividad de Qilin demuestra una mayor integración entre grupos y un creciente nivel de sofisticación en sus métodos. El uso de 0-days previamente explotados, la automatización de las etapas iniciales y el enfoque en el despliegue rápido de malware indican un alto grado de profesionalismo.

Aún no está claro si la campaña de explotación de vulnerabilidades de Fortinet se extenderá a otros países, pero PRODAFT advierte: si los dispositivos vulnerables no se corrigen pronto, la geografía de los ataques podría ampliarse rápidamente. Se recomienda a las organizaciones instalar inmediatamente las actualizaciones y revisar los registros de actividad en busca de intentos sospechosos de acceso, especialmente aquellos que eludan la autenticación.

Para quienes aún subestiman el riesgo: hoy en día, grupos como Qilin no son aficionados, sino actores coordinados, técnicos y altamente motivados. Sus ataques no son aleatorios, sino el resultado de un cálculo frío basado en brechas sistémicas y negligencia al corregirlas.