Según las alertas detectadas, la actividad sigue un patrón habitual en este tipo de amenazas: grandes volúmenes de intentos automatizados de autenticación que combinan fuerza bruta, ataques de diccionario y credential stuffing contra portales accesibles desde el exterior. Los ciberdelincuentes prueban de forma sistemática múltiples combinaciones de credenciales, reutilizando con frecuencia datos obtenidos en filtraciones anteriores, hasta encontrar accesos válidos a servicios SSL VPN o incluso a las interfaces de administración.

Las consecuencias pueden ir más allá del acceso inicial. Cuando una cuenta comprometida permite entrar en un firewall o en una pasarela VPN y la misma contraseña se utiliza en otros sistemas, los atacantes pueden desplazarse lateralmente por la infraestructura y comprometer recursos adicionales. Además, una vez dentro, es habitual que intenten asegurar su permanencia mediante modificaciones de configuración, creación de nuevas cuentas o incorporación de reglas que faciliten accesos posteriores.

Para mitigar el riesgo, se recomienda actuar con rapidez. Es prioritario cambiar las contraseñas vinculadas a cuentas de administración, VPN y servicios asociados a FortiGate, así como habilitar la autenticación multifactor (MFA) en todos los accesos remotos posibles. También es aconsejable reducir la superficie de exposición limitando el acceso público a las interfaces de administración, aplicando controles mediante ACL o utilizando VPN dedicadas para tareas de gestión.

La revisión detallada de los registros resulta igualmente esencial. Los equipos de seguridad deben identificar incrementos inusuales de intentos fallidos de autenticación, patrones compatibles con credential stuffing y conexiones procedentes de ubicaciones o direcciones IP sospechosas. La implementación de mecanismos de bloqueo automático y limitación de solicitudes puede ayudar a frenar este tipo de ataques automatizados. Asimismo, conviene eliminar cuentas en desuso, evitar credenciales compartidas y reforzar las políticas de contraseñas.

Cuando existe la posibilidad de que las credenciales hayan sido reutilizadas en otros sistemas, el alcance del incidente puede ampliarse considerablemente. En estos casos, es recomendable revisar los accesos remotos de toda la organización, identificar posibles credenciales expuestas y forzar cambios de contraseña en los sistemas internos afectados. Posteriormente, será necesario incrementar la monitorización para detectar actividades sospechosas, como inicios de sesión desde ubicaciones atípicas, cambios inesperados en la configuración o la creación de nuevas cuentas con privilegios administrativos.

Más información

• The Hacker News – FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation : https://thehackernews.com/2026/06/fortibleed-targeted-fortigate.html
• Dark Reading – FortiBleed Attackers Turn Firewalls Into Credentials Stealers : https://www.darkreading.com/cyberattacks-data-breaches/fortibleed-attackers-firewalls-credentials-stealers
• UK National Cyber Security Centre (NCSC) – Alert: NCSC issues advice following global targeting of Fortinet firewalls and VPN gateways (PDF) : https://www.ncsc.gov.uk/sites/default/files/2026-06/Alert-NCSC-issues-advice-following-global-targeting-of-Fortinet-firewalls-and-VPN-gateways_3.pdf