- Se ha detectado una lista con más de 74.000 credenciales operativas de dispositivos FortiGate en todo el mundo.
- El incidente no se debe a un fallo de seguridad del software, sino a ataques de fuerza bruta y falta de rotación de claves.
- Expertos confirman que muchas contraseñas siguen siendo válidas debido a un problema en la actualización del cifrado.
- Se recomienda encarecidamente activar el doble factor de autenticación y resetear los accesos de administración.
La comunidad de ciberseguridad está en vilo tras el descubrimiento de una campaña masiva que ha puesto contra las cuerdas a miles de organizaciones. Bajo el nombre de FortiBleed, se ha dado a conocer una base de datos que contiene los accesos de administración y VPN de exactamente 73.932 firewalls de Fortinet repartidos por casi doscientos países. La noticia ha saltado a la palestra después de que varios analistas detectaran un servidor abierto donde los atacantes, presuntamente de origen rusohablante, habían dejado olvidados sus registros de actividad y las herramientas utilizadas para comprometer los equipos.
Lo que más llama la atención de este caso es que, a diferencia de otras grandes brechas, aquí no hay un fallo de programación de última hora ni un agujero desconocido en el sistema. Los investigadores han dejado claro que estamos ante un descuido monumental en la higiene de las credenciales a escala global. Básicamente, los ciberdelincuentes han aprovechado contraseñas filtradas en años anteriores y han lanzado ataques automatizados hasta dar con la llave correcta. En Europa, donde la infraestructura crítica está bajo la lupa, organismos como el CCN-CERT ya monitorizan de cerca la situación para evitar que el problema pase a mayores.
¿Cómo han conseguido entrar en tantos sistemas?
Para entender la magnitud de la jugada, hay que fijarse en los medios técnicos empleados. Se sabe que los atacantes utilizaron un clúster de 45 potentes tarjetas gráficas para descifrar las claves que estaban protegidas con algoritmos antiguos. Al parecer, aunque Fortinet introdujo mejoras en la seguridad de sus versiones más recientes, existe un detalle técnico que ha servido de trampilla: si un administrador no vuelve a iniciar sesión tras actualizar el firmware, el sistema mantiene el formato de contraseña antiguo (SHA-256), que es mucho más fácil de reventar para un hacker con los recursos adecuados.
Además de este punto débil, la campaña se ha nutrido de virus de tipo infostealer que roban las claves directamente de los ordenadores de los empleados antes de que lleguen a cifrarse. Esto ha provocado que incluso contraseñas que sobre el papel eran largas y muy complejas hayan acabado en manos de terceros ni cortos ni perezosos. La lista de afectados no distingue entre pequeños negocios o gigantes tecnológicos, ya que se han encontrado accesos pertenecientes a firmas de la talla de Samsung, Toyota o incluso contratistas que trabajan para la OTAN.
Impacto en el territorio y medidas de protección
En España y el resto del continente, la preocupación es real, ya que el dataset incluye información muy jugosa para los delincuentes, como el sector de la empresa o su nivel de ingresos, lo que permite planificar ataques de ransomware mucho más precisos. No se trata solo de que alguien pueda entrar en tu red, sino de que los atacantes han creado un auténtico catálogo comercial para vender estos accesos al mejor postor. Las autoridades insisten en que tener el firewall actualizado es solo el primer paso, pero no es mano de santo si no se toman medidas adicionales de inmediato.
Para curarse en salud, lo primero que deben hacer los responsables de IT es verificar si su dominio aparece en las herramientas de consulta gratuitas que firmas como Hudson Rock han puesto a disposición del público. Si es así, no queda otra que resetear todas las claves de la VPN y de los paneles de administración sin perder un segundo. Pero sobre todo, la medida estrella que corta las alas a estos ataques es implantar el doble factor de autenticación; de esa forma, aunque un hacker tenga tu contraseña de texto plano, se quedará con las ganas al no poder superar la segunda barrera de seguridad.
A fin de cuentas, este incidente nos recuerda que la seguridad digital no es un ajuste que se hace una vez y te olvidas, sino un proceso constante de revisión. La filtración FortiBleed deja en evidencia que el eslabón más flojo sigue siendo el uso de claves antiguas y reutilizadas en dispositivos que están expuestos directamente a internet. Toca ponerse las pilas, forzar el inicio de sesión de todos los administradores para que el nuevo cifrado se aplique correctamente y vigilar los registros de acceso en busca de cualquier movimiento raro, porque en este juego, el que se duerme, acaba en la lista de los archivos expuestos.