← Alertas
Otro Alto Activa

Atacantes instalaron programa oculto en firewalls Fortinet para capturar contraseñas de administradores

La campaña FortiBleed instaló un programa de captura de tráfico personalizado en dispositivos FortiGate comprometidos para robar credenciales de administradores en el momento del inicio de sesión. Fortinet confirmó el incidente. Organizaciones con dispositivos FortiGate deben verificar si sus equipos fueron afectados usando los indicadores publicados.

2026-06-22 · BleepingComputer

Qué ocurrió

Investigadores documentaron que la campaña FortiBleed — que comprometió dispositivos FortiGate en todo el mundo — incluyó un paso adicional: los atacantes instalaron en los equipos un programa de captura de tráfico diseñado a medida para registrar las credenciales de administradores en el momento exacto del inicio de sesión. El robo ocurría en tiempo real, sin necesidad de descifrar nada.

Quién está expuesto

Organizaciones que usan dispositivos FortiGate — barreras de seguridad de red (firewalls) y concentradores de VPN — especialmente aquellas que no habían aplicado los parches disponibles antes de la campaña.

A considerar

Fortinet publicó indicadores de compromiso — señales técnicas que permiten detectar si un dispositivo fue afectado. Ese es el primer paso antes de cualquier otra acción. Si un dispositivo estuvo expuesto, las credenciales de todos los administradores deben considerarse comprometidas y rotarse de inmediato.

Impacto potencial

Un atacante con credenciales de administrador de FortiGate tiene acceso a la configuración completa de la red: puede abrir puertos, modificar reglas de seguridad, interceptar tráfico VPN o crear accesos ocultos para entradas futuras.

Leer fuente original →