Decenas de miles de firewalls de Fortinet supuestamente hackeados: nuevo golpe a la seguridad corporativa global

Según TechCrunch, ciberdelincuentes afirman haber comprometido decenas de miles de firewalls de Fortinet utilizados por grandes empresas de todo el mundo. La afirmación apareció en un foro clandestino; si se confirma, el incidente sería una de las mayores brechas de seguridad corporativa de los últimos años.

Fortinet figura, junto a Cisco y Palo Alto Networks, entre los tres principales actores del mercado de firewalls empresariales. Sus líneas de hardware FortiGate están desplegadas en una amplia gama de instituciones, de bancos a universidades, organismos públicos y grupos audiovisuales. El último informe de la empresa cita más de 700.000 dispositivos activos en el mundo.

La afirmación procede de un actor que se hace llamar «Belsen Group» en el foro clandestino. El grupo asegura haber explotado una vulnerabilidad en ciertas versiones del sistema operativo FortiOS para extraer credenciales de 87.000 dispositivos. Un archivo de muestra publicado incluye direcciones IP, nombres de usuario administrador y datos de configuración de VPN.

Fortinet declaró a TechCrunch que «está revisando los informes y contactando con los clientes afectados». La empresa señala que la filtración podría estar vinculada a un CVE corregido en 2024, lo que significa que los dispositivos no actualizados están en riesgo. No está claro aún si también se han visto afectados equipos totalmente parcheados.

Los expertos consideran que, si se confirma la brecha, el impacto no se limitará a la pérdida de datos. Los firewalls suelen estar en el punto de entrada de la red de una organización; un firewall comprometido puede emplearse como trampolín hacia servidores internos, sistemas de correo y bases de datos. Esa segunda oleada es lo que hace que la situación sea peligrosa.

La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha instado a las agencias federales a auditar de inmediato sus equipos FortiGate y revisar los registros en busca de actividad sospechosa. CISA señala que las versiones afectadas están ampliamente desplegadas en las redes federales y que un ataque posterior tendría implicaciones de seguridad nacional.

El investigador de seguridad Brian Krebs escribió en su blog: «La estrategia de los atacantes está cambiando; antes robaban y vendían datos, ahora venden accesos». Krebs indica que el Belsen Group pide 2.000.000 de dólares por el lote de 87.000 dispositivos; los posibles compradores incluyen grupos de ciberespionaje, equipos de ransomware o actores vinculados a Estados.

Las acciones de Fortinet cayeron un 7,4 % en el mercado estadounidense tras conocerse la noticia. Los analistas creen que el incidente puede dañar a largo plazo la confianza de los clientes. Cisco y Palo Alto Networks cerraron al alza ante la expectativa de ganar cuota. Los ingresos del trimestre de mayo de Fortinet fueron de 1.680 millones de dólares.

El incidente está obligando además a los clientes corporativos a revisar sus manuales de seguridad. Muchas organizaciones se están moviendo hacia estrategias «multiproveedor» para reducir el riesgo de depender de un único proveedor. El equilibrio entre las ventajas de coste de comprar firewall, antivirus, filtro de correo y protección de endpoints a una sola empresa y el riesgo consolidado vuelve a estar sobre la mesa.

Los expertos enumeran los pasos inmediatos para cualquier organización potencialmente afectada: actualizar los equipos a la última versión; rotar todas las contraseñas de administrador; compartir los registros de los últimos tres meses con analistas independientes; rotar los certificados VPN; y considerar restaurar una configuración limpia conocida. La magnitud real del incidente se conocerá mejor en los próximos días.