Basado en información de The Hacker News →
Introducción
Una campaña de robo de credenciales que desde febrero de 2026 ha comprometido más de 430.000 firewalls FortiGate a nivel global demuestra que el perímetro ya no es suficiente: los atacantes apuntan a la puerta principal, no a la trampilla.
El problema
Según reportó The Hacker News, un agente de acceso inicial (IAB) de habla rusa, motivado exclusivamente por ganancias económicas, está detrás de la operación conocida como FortiBleed. Desde febrero de 2026, este actor ha recopilado listas de credenciales, identificado servicios expuestos, realizado fuerza bruta sobre sistemas accesibles y desplegado herramientas personalizadas para cosechar más de 110 millones de credenciales de firewalls FortiGate vulnerables.
Consecuencias
El impacto es doble: por un lado, la exposición masiva de credenciales de administración de firewalls, que son el punto de control crítico de la red; por otro, la posibilidad de que esos accesos se revendan a otros grupos de ransomware o APT, multiplicando el daño. Para cualquier organización con un FortiGate expuesto a Internet, el riesgo de una intrusión total y persistente es real y actual.
Causas
La causa raíz, según la información pública disponible, no es una vulnerabilidad nueva de día cero, sino una combinación de mala higiene de credenciales (contraseñas débiles o reutilizadas) y exposición innecesaria de servicios de administración del firewall a Internet. El IAB simplemente automatizó la búsqueda de equipos mal configurados.