Ataque masivo de fuerza bruta contra cuentas de Fortinet: la ofensiva se extiende por todo el planeta, de EE. UU. a Japón

ciberataques Fortinet fuerza bruta IP SSL FortiOS brute force
Ataque masivo de fuerza bruta contra cuentas de Fortinet: la ofensiva se extiende por todo el planeta, de EE. UU. a Japón
ciberataques Fortinet fuerza bruta IP SSL FortiOS brute force

Víctimas en cinco países, 800 IP de origen, un solo objetivo.

image

Investigadores han informado de un fuerte aumento en los intentos de fuerza bruta contra dispositivos Fortinet con SSL VPN habilitada. La empresa GreyNoise detectó una ola de tráfico sospechoso el 3 de agosto de 2025, en la que participaron más de 780 direcciones IP distintas. En las últimas 24 horas se sumaron otras 56 fuentes, todas catalogadas como maliciosas. Los atacantes operaban desde EE. UU., Canadá, Rusia y Países Bajos, y las víctimas se encontraban en EE. UU., Hong Kong, Brasil, España y Japón.

Los investigadores subrayan que los ataques se dirigieron específicamente a dispositivos Fortinet. Las solicitudes coincidían exactamente con las firmas de FortiOS, lo que apunta a una acción bien planificada y no a escaneos aleatorios. El informe destaca que los atacantes actuaron de forma deliberada, con un enfoque claro en la SSL VPN de esta plataforma.

El análisis reveló dos oleadas distintas de ataques. La primera consistió en un prolongado intento de fuerza bruta con una misma huella TCP. La segunda, iniciada tras el 5 de agosto, mostró un repunte brusco de actividad y un patrón de red diferente. Si en la primera fase el objetivo era FortiOS, en la segunda el foco se desplazó hacia FortiManager, lo que podría indicar un cambio de objetivo manteniendo la misma infraestructura o herramientas.

Un análisis adicional mostró que, ya en junio, la misma huella del cliente de red estaba asociada a un FortiGate que funcionaba a través de la red doméstica del proveedor Pilot Fiber Inc. Esto sugiere que la herramienta fue probada o ejecutada por primera vez en un entorno doméstico. No se descarta el uso de proxies residenciales.

GreyNoise recuerda que picos de actividad como este suelen preceder a la aparición de nuevas vulnerabilidades. Según sus observaciones, en las seis semanas posteriores a estos aumentos suelen publicarse CVE relacionadas con la tecnología atacada. Generalmente se trata de soluciones situadas en el perímetro de la red corporativa: VPN, puertas de enlace o sistemas de acceso remoto.

Fortinet aún no ha emitido comentarios oficiales.

Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla

¡Únete a nosotros!

Noticias sobre el tema

Ataque masivo de RubyGems: Desarrolladores sin datos ni control sobre sus cuentas

La Guardia Nacional en lugar de informáticos, papel en lugar de ordenadores: Interlock toma como rehén a toda una ciudad

1,1 mm en cerebro vivo: MIT bate todos los récords de penetración sin bisturí

GreedyBear infectó Firefox. Un millón de dólares perdidos con las claves privadas

Hackers han penetrado el sistema judicial. Se han expuesto datos de testigos y casos clasificados

Un teléfono convertido en lavandería para 2.000 millones de dólares alcanza su desenlace con los creadores de Samourai Wallet

Una sola importación al proyecto: los servidores Windows y Linux están bajo el control de hackers

Ghost Calls convirtieron las videollamadas en túneles invisibles para hackers, y nadie se dio cuenta

“Nada confidencial se filtró”, asegura Google, mientras ShinyHunters comprime tu negocio en un ZIP con sonrisa burlona