En segundos y sin contraseñas: hackers lanzan un ataque masivo contra los cortafuegos de Fortine
Ciberdelincuentes explotan fallas en la autenticación SAML para eludir contraseñas.
Especialistas de Arctic Wolf detectaron una nueva ola de ataques a los cortafuegos Fortinet FortiGate. Los atacantes modifican masivamente la configuración de los dispositivos, obtienen acceso no autorizado a los sistemas y se afianzan en la infraestructura de las organizaciones; todo ello ocurre prácticamente sin intervención humana.
La actividad comenzó el 15 de enero de 2026. Los ataques parecen ser una campaña totalmente automatizada. Primero los atacantes acceden al sistema mediante cuentas con soporte de inicio de sesión único, luego crean cuentas técnicas adicionales para acceso persistente, modifican la configuración para obtener acceso a redes privadas virtuales y exportan las configuraciones de los cortafuegos. En Arctic Wolf señalan que todas las acciones se realizan en cuestión de segundos, lo que indica el uso de scripts e herramientas automáticas.
La campaña actual se parece mucho al ataque que la empresa ya informó en diciembre de 2025. Entonces también se registraron accesos de administradores mediante el sistema de inicio de sesión único, tras los cuales se produjeron cambios en las configuraciones y fugas de datos desde dispositivos FortiGate.
Los especialistas recuerdan que a principios de diciembre Fortinet publicó una advertencia sobre dos vulnerabilidades críticas que permitían eludir la autenticación al acceder mediante inicio de sesión único. Las vulnerabilidades se registraron con los identificadores CVE-2025-59718 y CVE-2025-59719. Permitían a los atacantes autenticarse sin contraseña usando mensajes SAML (Security Assertion Markup Language) especialmente formados, si en el dispositivo estaba activada la función FortiCloud SSO. Estuvieron en riesgo varios productos de la empresa, incluidos FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
Por ahora se desconoce si la nueva ola de ataques está directamente relacionada con estas vulnerabilidades y si queda completamente mitigada por las actualizaciones publicadas. En Arctic Wolf subrayan que el método de intrusión inicial aún no se ha establecido con certeza.
En el marco de los ataques, los atacantes usan cuentas típicas como «cloud-init@mail.io» y crean nuevas cuentas con nombres secadmin, itadmin, support, backup, remoteadmin y audit. Tras acceder al sistema, descargan los archivos de configuración de los cortafuegos y ajustan parámetros adicionales de acceso.
Los especialistas advierten que, incluso si las contraseñas en las configuraciones están almacenadas como hashes, pueden intentar descifrarlas sin conexión, especialmente si se usan contraseñas débiles. Por ello, ante indicios de compromiso se recomienda cambiar con urgencia las credenciales de administradores y de cuentas de servicio.
Como medida temporal, los especialistas aconsejan considerar desactivar el inicio de sesión único de FortiCloud (SSO), si se utiliza, hasta que Fortinet ofrezca aclaraciones y actualizaciones adicionales. También se recomienda que las empresas limiten el acceso a las interfaces de gestión de los dispositivos de red únicamente a redes internas confiables, ya que son estos puntos los que con mayor frecuencia se convierten en objetivos de ataques masivos.