FortiBleed: filtran credenciales de 74,000 firewalls Fortinet en el mundo — ¿está el tuyo en la lista?

Si tu empresa tiene trabajo remoto, lo más probable es que la puerta de entrada a tu red sea un firewall — y en México, una de las marcas más usadas para eso es Fortinet, con sus equipos FortiGate. Esta semana, esa puerta quedó en evidencia para decenas de miles de empresas en todo el mundo.

El 18 de junio de 2026 se hizo público FortiBleed: una filtración que expone las credenciales de administrador de 73,932 firewalls Fortinet en 194 países. La lista de afectados no es de empresas pequeñas: incluye a Samsung, Siemens, Foxconn, Oracle, Accenture, DHL, Infosys, agencias de gobierno, infraestructura crítica y — el dato que más debería preocupar — al propio Fortinet.

¿Qué es FortiBleed, en simple?

Imagina que el cerrajero que instaló la chapa de tu oficina dejó una copia de la llave maestra tirada en la calle, junto con la dirección exacta de tu negocio. Eso es FortiBleed, pero a escala industrial.

Un grupo cibercriminal de habla rusa recolectó durante meses los "candados digitales" (hashes) de las VPN de miles de firewalls Fortinet expuestos a internet. Después los procesaron en un sistema con 45 tarjetas gráficas dedicadas exclusivamente a romper contraseñas, hasta convertir esos candados en usuarios y contraseñas de administrador que funcionan. El resultado es una base de datos con acceso directo a la red interna de cada empresa de la lista.

Con ese acceso, un atacante no entra "a un firewall": entra a toda tu red. Desde ahí puede saltar a tu Active Directory, tus servidores, tus respaldos y tus datos. Es la antesala perfecta de un ataque de ransomware o de un robo masivo de información.

¿Cómo pasó esto?

FortiBleed no fue una sola falla, sino la suma de tres descuidos muy comunes — y muy evitables:

• Una vulnerabilidad sin parchar: la falla principal (identificada como CVE-2026-24858, con una severidad de 9.8 sobre 10) permite saltarse la autenticación. Fortinet la reveló desde enero de 2026 y hasta está en el catálogo de vulnerabilidades críticas de la agencia de ciberseguridad de Estados Unidos. Aun así, miles de equipos siguen sin actualizar.
• Cifrado de contraseñas anticuado: las versiones viejas de FortiOS guardaban las contraseñas con un método (SHA-256) que hoy es relativamente fácil de romper con suficiente poder de cómputo.
• Contraseñas reusadas: muchas credenciales ya circulaban desde antes, robadas por virus de tipo "infostealer" en computadoras de empleados.

El patrón es el mismo que vemos en casi todos los grandes incidentes: equipos sin actualizar, configuraciones viejas y contraseñas que nadie cambió. La tecnología existía para evitarlo; faltó la operación que la mantuviera.

¿Por qué esto te importa aunque no seas Samsung?

Aquí está el punto que muchas PyMEs mexicanas pasan por alto: los atacantes no eligen a sus víctimas por tamaño, sino por facilidad. La base de FortiBleed se armó de forma automatizada, escaneando internet completo. Si tu FortiGate está expuesto y no está actualizado, entra a la lista igual que una corporación — y tu empresa es, de hecho, un blanco más atractivo porque suele tener menos defensas y menos gente vigilando.

El trabajo remoto disparó el uso de VPN en firewalls Fortinet en todo México. Si activaste la VPN durante la pandemia y no le has dado mantenimiento desde entonces, este es exactamente el escenario de riesgo.

Qué hacer HOY si usas un firewall Fortinet

No necesitas entrar en pánico, pero sí actuar con orden. Estos son los pasos, del más urgente al de fondo:

1. Asume que pudiste estar expuesto

Si tienes un FortiGate con VPN hacia internet y no recuerdas la última vez que lo actualizaron, trátalo como comprometido hasta demostrar lo contrario. Es más barato verificar que lamentar.

2. Actualiza el FortiOS a la última versión

El parche para la falla principal existe desde hace meses. Aplicarlo cierra la puerta que se está usando para entrar.

3. Saca la administración del firewall de internet

El panel de administración de tu firewall nunca debería ser accesible desde cualquier parte del mundo. Restringirlo a tu red interna o a IPs autorizadas elimina la mayor parte del riesgo de inmediato.

4. Cambia TODAS las contraseñas — sin excepción

Credenciales de administrador, cuentas de VPN de cada empleado, y cualquier contraseña que se haya usado en más de un sistema. Si una credencial de FortiBleed sigue activa, el atacante ya tiene la llave.

5. Activa autenticación multifactor (MFA) en la VPN

Esta es la medida que más rinde: aunque un atacante tenga tu usuario y contraseña, sin el segundo factor (un código en el celular) no puede entrar. Si solo haces una cosa de esta lista, que sea ésta.

6. Revisa si ya entraron

Buscar accesos extraños, cuentas nuevas, conexiones VPN a horas raras o desde países donde no operas. Si encuentras algo, necesitas respuesta a incidentes profesional, no improvisar.

El firewall no es "instalar y olvidar"

FortiBleed deja una lección incómoda: un firewall caro y de marca no te protege si nadie lo mantiene. La seguridad no es un producto que compras una vez, es una operación continua — actualizaciones, configuración endurecida, contraseñas rotadas, MFA y monitoreo. Exactamente lo que las 74,000 empresas de la lista no tenían al día.

¿No sabes si tu firewall está en riesgo? En ALMSTRA podemos revisarlo por ti. Nuestro diagnóstico gratuito de 45 minutos incluye verificar si tu Fortinet (u otro firewall) está expuesto, si está actualizado y si tu VPN tiene los controles correctos. Sin pitch de ventas — solo un mapa claro de dónde estás parado.

Si quieres dejar de preocuparte por esto de forma permanente, nuestra ciberseguridad gestionada 24/7 mantiene tus equipos actualizados, monitoreados y endurecidos todo el tiempo. Y si crees que ya pudieron entrar, tenemos respuesta a incidentes de emergencia disponible ahora.

El momento de revisar tu firewall no es después de que alguien lo use en tu contra — es hoy.