Imagínate que un ladrón no solo entra a tu casa en silencio para clonar tus llaves, sino que después decide venderle esas copias a las bandas de delincuentes más agresivas del barrio. Eso es exactamente lo que está pasando a nivel global con FortiBleed, una campaña de ciberataques que comenzó robando credenciales en firewalls de Fortinet y que hoy se ha convertido en la alfombra roja para el despliegue de ransomware a gran escala. Si tu infraestructura depende de estos perímetros, ignorar esta amenaza ya no es una opción.
De recolectores de llaves a intermediarios del caos
La operación FortiBleed se descubrió inicialmente como un malware (un sniffer desarrollado en lenguaje Golang) diseñado específicamente para interceptar y robar credenciales dentro de los firewalls Fortinet FortiGate. Al principio parecía un ataque de espionaje o robo de datos común, pero una investigación reciente de la firma SOCRadar reveló un giro mucho más oscuro: los atacantes están operando como «Initial Access Brokers» (intermediarios de acceso inicial).
Esto significa que no se quedan de brazos cruzados con las contraseñas robadas; las están vendiendo al mejor postor. Investigadores de seguridad detectaron que los mismos operadores de FortiBleed manejan los paneles de negociación de rescates de dos de las bandas de ransomware más peligrosas del ecosistema criminal: Inc Ransom y Lynx.
La anatomía del desastre: ¿Qué pasa si te infectan?
Gracias a un descuido en la seguridad operativa de los propios hackers, los analistas pudieron asomarse a sus bitácoras internas. Los datos son alarmantes y demuestran una efectividad quirúrgica:
- Control Total: Los atacantes lograron acceso de nivel administrador en más de 400 organizaciones objetivo.
- La Cadena Completa: En el 86% de esos casos, no se quedaron en el firewall; saltaron a la VPN, se movieron lateralmente hasta el Controlador de Dominio y se convirtieron en Administradores del Dominio.
- El Cifrado: Ya se han confirmado los primeros despliegues de ransomware que congelaron cientos de servidores y estaciones de trabajo.
El ingrediente sorpresa: Un nuevo Zero-Day bajo la manga
Por si fuera poco, el grupo detrás de FortiBleed (una estructura organizada de unas 20 personas) no solo vive de explotar firewalls vulnerables. Se ha confirmado que están utilizando activamente una vulnerabilidad Zero-Day (no pública) en la plataforma de almacenamiento Nextcloud. Usan este fallo desconocido para expandir su control dentro de las redes corporativas, asegurando el terreno antes de que las bandas de ransomware entren a destruir y extorsionar.
¿Qué debes hacer hoy mismo?
Te dejo este consejo práctico si manejas la infraestructura de una empresa o administras dispositivos perimetrales, asume que cualquier alerta en tu firewall no es un evento aislado. La recomendación de oro hoy es cambiar el chip del equipo de TI:
Monitoreo con mentalidad Pre-Ransomware: Si detectas actividad inusual o compromiso de credenciales en tus dispositivos FortiGate, no te limites a resetear las contraseñas. Trata el evento como si el ransomware ya estuviera dentro de tu red corporativa. Audita inmediatamente los registros de la VPN, busca conexiones anómalas hacia los Controladores de Dominio y, sobre todo, mantén tus instancias de Nextcloud estrictamente vigiladas y aisladas de segmentos críticos hasta que se liberen los parches oficiales.
A continuación te presento los puntos clave:
1. La conexión con el Ransomware (Inc y Lynx)
La campaña FortiBleed comenzó inicialmente como una operación de robo de credenciales a gran escala dirigida a firewalls Fortinet FortiGate mal protegidos (afectando potencialmente a unos 430,000 dispositivos en todo el mundo, con ~12,000 infecciones confirmadas mediante un sniffer basado en Golang).
La novedad descubierta por la firma de ciberseguridad SOCRadar es que el grupo detrás de FortiBleed está actuando como un IAB (Initial Access Broker), es decir, un intermediario que consigue el acceso inicial y luego lo vende o transfiere a otros criminales. Investigadores detectaron a un operador de FortiBleed logueado activamente en los paneles de negociación de rescates de dos conocidas bandas de Ransomware-as-a-Service (RaaS): Inc Ransom y Lynx.
2. El impacto en las víctimas
Debido a un error de seguridad operativa (opsec) por parte de los propios atacantes, SOCRadar logró acceder a sus archivos internos, bitácoras y listas de objetivos. Los hallazgos confirman la gravedad de la intrusión:
- Los atacantes lograron acceso a nivel de administrador en 409 objetivos.
- En 354 de esos casos completaron toda la cadena de ataque: vulneraron la VPN, escalaron al controlador de dominio y obtuvieron privilegios de Administrador de Dominio.
- Ya se han confirmado al menos 12 despliegues directos de ransomware derivados de este acceso, cifrando cientos de endpoints.
3. Explotación de un Zero-Day en Nextcloud
Este grupo de acceso inicial (que se estima está compuesto por una estructura organizada de unas 20 personas) tiene en su arsenal al menos una vulnerabilidad Zero-Day (no publicada previamente).
SOCRadar confirmó que el fallo afecta al proveedor de almacenamiento en la nube Nextcloud, y que los atacantes lo están explotando de forma activa para expandir su acceso lateral y comprometer más infraestructura antes de delegar el control a las bandas de ransomware. Por su parte, Nextcloud declaró al medio no haber recibido reportes formales a través de su programa de bug bounty pero aseguró que investigará el problema inmediatamente.
Conclusión técnica: La exposición o el compromiso de un perímetro protegido por FortiGate bajo la campaña FortiBleed ya no debe considerarse un simple incidente de robo de información, sino un riesgo inminente de intrusión pre-ransomware de alto impacto.














Deja una respuesta