El reciente informe de Arctic Wolf ha destapado una preocupante ola de ciberataques dirigidos a los firewalls FortiGate. Los atacantes est\u00e1n utilizando t\u00e9cnicas automatizadas que les permiten comprometer estos sistemas en cuesti\u00f3n de segundos. Esta situaci\u00f3n exige una atenci\u00f3n inmediata por parte de las empresas que utilizan estas tecnolog\u00edas.<\/p>\n
Los atacantes comienzan su operaci\u00f3n comprometiendo el firewall FortiGate a trav\u00e9s de vulnerabilidades espec\u00edficas. Una vez dentro, exportan la configuraci\u00f3n del firewall utilizando la interfaz de administraci\u00f3n. Este paso cr\u00edtico les permite tener una visi\u00f3n detallada de la red protegida.<\/p>\n
Despu\u00e9s de conseguir acceso, los atacantes crean cuentas gen\u00e9ricas que les dan privilegios elevados. Estos nombres de usuario son dise\u00f1ados para pasar desapercibidos. Posteriormente, configuran el firewall para permitir conexiones remotas, incluidas a trav\u00e9s de VPN, lo que les otorga un acceso continuo y persistente.<\/p>\n
La naturaleza de este ataque va m\u00e1s all\u00e1 de una mera intrusi\u00f3n temporal. Al exfiltrar la configuraci\u00f3n y establecer accesos persistentes, los atacantes consiguen una “fotograf\u00eda” detallada de la red interna. Esto les proporciona la capacidad de volver en cualquier momento para realizar ataques m\u00e1s espec\u00edficos, incluso si la vulnerabilidad inicial ha sido cerrada.<\/p>\n
Este tipo de ataque plantea un riesgo significativo para la seguridad de la informaci\u00f3n. La capacidad de realizar movimientos laterales dentro de la red comprometida permite a los atacantes llevar a cabo acciones maliciosas adicionales, como la recolecci\u00f3n de datos sensibles o la instalaci\u00f3n de malware.<\/p>\n
A principios de diciembre, Fortinet ya hab\u00eda emitido alertas sobre dos vulnerabilidades cr\u00edticas (CVE-2025-59718 y CVE-2025-59719) relacionadas con FortiCloud SSO. Estas brechas de seguridad permit\u00edan a los atacantes acceder a la interfaz de administraci\u00f3n utilizando un m\u00e9todo de autenticaci\u00f3n externo. Tras dichas alertas, la compa\u00f1\u00eda lanz\u00f3 parches para mitigar estas vulnerabilidades.<\/p>\n
No obstante, el reciente informe de Arctic Wolf indica similitudes entre los incidentes actuales y los ataques observados en diciembre. Sin embargo, a\u00fan no se ha determinado con certeza c\u00f3mo los atacantes logran el acceso a los firewalls. Esto genera dudas sobre la efectividad de los parches implementados o si est\u00e1n explotando otra debilidad en el sistema.<\/p>\n
Ante esta amenaza, las organizaciones que usan firewalls FortiGate deben tomar medidas proactivas. Entre las mejores pr\u00e1cticas se incluyen:<\/p>\n
La seguridad de la red es un aspecto cr\u00edtico para cualquier organizaci\u00f3n moderna. Los ataques automatizados dirigidos a firewalls FortiGate han resaltado la necesidad de una postura de seguridad robusta y proactiva. La vigilancia constante y la prontitud en la implementaci\u00f3n de actualizaciones son esenciales para protegerse contra estas amenazas emergentes. Es necesario mantenerse informado y preparado para responder a incidentes cibern\u00e9ticos que podr\u00edan comprometer la integridad y confidencialidad de la infraestructura digital.<\/p>\n