Filtración masiva de firewalls Fortinet expone credenciales de cerca de 74.000 organizaciones globales

Qué pasó

Una investigación internacional liderada por el investigador Bob Diachenko, jefe de SecurityDiscovery.com, destapó una filtración masiva de credenciales que afecta a cerca de 74.000 dispositivos Fortinet —firewalls perimetrales de uso masivo en el sector corporativo— distribuidos en más de 21.000 direcciones IP de 194 países. El hallazgo fue posible luego de que el equipo accediera a la infraestructura de comando y control de los atacantes, identificados como un grupo de origen rusoparlante con motivación económica.

Entre las organizaciones comprometidas figuran Oracle, Chevron, Lenovo, Federal Express, un contratista de defensa de la OTAN y la propia Fortinet. La base de datos filtrada incluye, además de las credenciales en texto plano —es decir, sin cifrar—, información sobre el sector, los ingresos y el número de empleados de cada entidad afectada.

De acuerdo con el reporte, los atacantes realizaron un escaneo masivo de internet en busca de puntos de acceso remoto de equipos FortiGate. Luego desplegaron un binario personalizado capaz de ejecutar 25.000 hilos simultáneos para probar cientos de miles de combinaciones de usuario y contraseña contra cada dispositivo. Una vez obtenidas las credenciales válidas, el grupo procedió a interceptar los resúmenes criptográficos de autenticación de la red privada virtual SSL y descifrarlos utilizando un clúster dedicado de 45 unidades de procesamiento gráfico administrado mediante la plataforma Hashtopolis. Con las contraseñas recuperadas, los atacantes se movieron lateralmente al interior de las redes para comprometer, en numerosos casos, los sistemas centralizados de autenticación corporativa, incluidos servidores Radius y directorios Active Directory de Microsoft.

Contexto

La magnitud del incidente es excepcional. Según cifras del motor de búsqueda Shodan, los 74.000 dispositivos comprometidos representan aproximadamente la mitad de todos los firewalls Fortinet expuestos a internet a nivel global. El investigador independiente Kevin Beaumont confirmó que, al menos hasta el miércoles, casi todos los dispositivos comprometidos seguían en línea y que múltiples organizaciones habían verificado la vigencia de las credenciales filtradas.

La firma de seguridad Hudson Rock, que también analizó la información, advirtió que la escala de esta filtración toca prácticamente todos los sectores de la economía global, sin distinción de industria, y describió el operativo como una base de datos verificada de credenciales funcionales para algunas de las mayores empresas del planeta. Los tres equipos investigadores —Diachenko, Beaumont y Hudson Rock— hicieron un llamado urgente a los usuarios de Fortinet para que revisen de inmediato sus redes en busca de indicios de compromiso. Hudson Rock publicó un buscador que permite a las organizaciones verificar si su dominio aparece en los registros filtrados.

El episodio se inscribe en una tendencia creciente: el uso de infraestructura de cómputo de alto rendimiento para el descifrado masivo de credenciales, una capacidad que históricamente había estado reservada a operaciones de inteligencia estatal y que comienza a ser adoptada por grupos con motivación financiera.

Impacto para empresas chilenas

En Chile, donde los firewalls Fortinet son ampliamente utilizados por empresas medianas y grandes, así como por entidades públicas, el episodio representa una alerta operativa inmediata. El mercado local —bancario, minero, retail, telecomunicaciones y servicios— concentra un número significativo de dispositivos expuestos a internet, muchos de los cuales podrían estar dentro del perímetro comprometido.

Empresas y pymes que utilizan esta tecnología deben priorizar tres acciones: cambiar todas las credenciales de acceso remoto y de cuentas con privilegios, revisar los registros de autenticación de los últimos meses en busca de accesos sospechosos, y auditar los sistemas de identidad corporativa, en particular los servidores Radius y los bosques de Active Directory, donde los atacantes suelen escalar privilegios.

La situación también pone en discusión la dependencia del mercado local respecto de un único proveedor de infraestructura de seguridad perimetral, un riesgo de concentración que el episodio deja en evidencia y que probablemente motive una revisión de las estrategias de diversificación tecnológica en el sector corporativo chileno durante los próximos meses.

Qué sigue

El caso podría desencadenar investigaciones regulatorias en múltiples jurisdicciones, además de acciones colectivas por parte de las organizaciones afectadas. En el corto plazo, Fortinet enfrenta el desafío de coordinar la notificación a su base global de clientes y de reforzar la comunicación sobre parches y configuraciones seguras.

Para la industria, el episodio confirma una tendencia creciente: los grupos de ciberataques con motivación financiera están elevando significativamente su capacidad técnica, incorporando infraestructura de cómputo dedicada y técnicas de movimiento lateral que antes eran patrimonio de operaciones de espionaje estatal. Se espera que el caso acelere la adopción de modelos de seguridad con autenticación multifactor obligatoria y arquitecturas de confianza cero entre las empresas chilenas.