FortiBleed: cuando hasta el firewall te traiciona
Durante años, en el mundo de redes existió una religión no escrita: mientras el firewall siguiera en pie, la red seguía “segura”. Podías tener servidores configurados por alguien que consideraba la documentación una ofensa personal, un DNS que resolvía según su estado de ánimo o un router que tomaba decisiones con la misma lógica que un borracho eligiendo taxi, pero mientras el perímetro aguantara todavía quedaba algo de paz mental. Había una idea casi sagrada de que el firewall era el muro de contención definitivo, el último bastión entre tu infraestructura y el caos absoluto de Internet. El problema es que la última década se ha encargado de destruir esa fantasía con la delicadeza de una excavadora.
Porque hemos descubierto una verdad bastante incómoda: los dispositivos diseñados para protegernos también son objetivos prioritarios para los atacantes. Toda esa infraestructura crítica que vendemos como “primera línea de defensa” también es, casualmente, una superficie de ataque estupenda. Y pocos incidentes recientes lo demuestran tan bien como FortiBleed. Los equipos de Fortinet llevan años siendo el portero de discoteca de miles de organizaciones, decidiendo quién entra, quién sale y quién se queda fuera por traer credenciales sospechosamente recicladas de 2018. El problema aparece cuando descubres que ese portero no solo ha dejado pasar gente por la puerta trasera, sino que además les ha dado una copia de las llaves, la contraseña del WiFi y probablemente acceso al rack.
Eso fue, en esencia, FortiBleed. Se reveló una operación de ciberespionaje de dimensiones obscenas en la que los atacantes lograron comprometer 73.932 URLs únicas de firewalls Fortinet distribuidas en 194 países, afectando a 21.632 dominios distintos. Pero la cifra que realmente hace daño leer es otra: aproximadamente el 50% de todos los dispositivos Fortinet expuestos a Internet podrían haber sido comprometidos. Sí, la mitad. No estamos hablando de “unos cuantos mal configurados” o de “casos puntuales”; hablamos de una moneda al aire. Según la investigación, detrás de la operación había un grupo rusoparlante multioperador trabajando a escala industrial. Y cuando digo industrial, hablo de 1.160 millones de intentos de credenciales contra más de 320.000 objetivos FortiGate, además de 2.100 millones de ataques de fuerza bruta contra más de 160.000 servidores MSSQL.
Lo más irritante de todo es que la metodología no fue especialmente sofisticada. De hecho, fue ofensivamente simple, que suele ser lo peor. Escanearon Internet buscando dispositivos FortiGate con la interfaz de administración expuesta públicamente. Ese pequeño detalle que alguien deja abierto “solo temporalmente” para administrar desde casa y que termina sobreviviendo más que media infraestructura del CPD, como esos cables provisionales que ya deberían cotizar. Una vez dentro, obtenían exports completos de configuración del firewall y empezaba la fiesta.
La parte más elegante vino después. El grupo interceptaba hashes de autenticación SSL-VPN y los crackeaba offline utilizando un clúster de 45 GPUs gestionado con Hashtopolis. Traducido al castellano normal: montaron una pequeña fábrica industrial de romper contraseñas. Y cuando obtenían acceso válido, no se quedaban en el firewall. Pivotaban hacia Active Directory, porque cualquier atacante serio sabe una verdad universal: comprometer el perímetro está bien, pero controlar Active Directory es ganar la partida. En ese punto ya no eres un intruso; eres prácticamente parte del mobiliario.
Las consecuencias fueron muy reales. Se confirmaron compromisos completos en organizaciones de Japón, Taiwán, Vietnam, Irak y Turquía. Entre los casos más graves apareció incluso un contratista de defensa vinculado a la OTAN. Esto ya no es una vulnerabilidad aislada. Esto es un incidente global con implicaciones estratégicas serias. Y aquí llega la parte que más duele a cualquiera que lleva años repitiendo “parchead a la ultima versión compi”: muchos de los dispositivos afectados estaban completamente parcheados. Ese detalle revienta una de las creencias más arraigadas en IT, esa de “si parcheo, estoy protegido”. Ojalá fuera tan sencillo. Parchear sigue siendo obligatorio, claro, pero creer que parchear equivale automáticamente a seguridad es como pensar que cerrar la puerta de casa basta mientras dejas la llave debajo del felpudo.
Como "ayuda" o nivel consulta la gente de SOCRadar ofrece una herramienta pública gratuita para verificar si la dirección IP o dominio de tu organización aparece en la base de datos de atacantes. Si administras Fortinet y todavía no lo has mirado, hay bastantes probabilidades de que esta noche duermas peor que tu firewall.
Y por desgracia, lo ocurrido con FortiBleed no empezó con FortiBleed. Este incidente solo se suma a una larga lista de ataques que, año tras año, nos han ido dejando exactamente la misma lección.
➜Colonial Pipeline (2021)
Un oleoducto crítico estadounidense quedó paralizado por ransomware.
El acceso inicial vino de una cuenta VPN sin MFA (como no...).
Ni exploit sofisticado. Ni malware futurista.
Solo credenciales robadas.
Uno de los mayores ataques de supply chain de la historia.
Los atacantes comprometieron una actualización legítima del software.
Las víctimas hicieron lo correcto —actualizar— y aun así fueron comprometidas.
Ransomware global usando EternalBlue contra SMB de Windows.
Hospitales, bancos y organismos públicos cayeron en cascada.
Medio planeta descubrió que posponer actualizaciones era mala idea.
Una vulnerabilidad conocida en Apache Struts permitió el robo de datos de 147 millones de personas.
No hay exploit más peligroso que: “Ya lo haremos luego.”
El abuelo de todos los “-bleed”.
Un fallo en OpenSSL permitía leer memoria del servidor y extraer contraseñas, cookies y claves privadas.
Fue el momento en que internet descubrió lo frágil que era realmente su seguridad.
Después de una década de incidentes, la conclusión es bastante clara: los grandes hackeos rara vez ocurren por culpa de hackers mitológicos o exploits de ciencia ficción. Normalmente nacen de una combinación mucho más humana —y peligrosa— de software complejo, malas configuraciones, credenciales comprometidas y parches que “ya aplicaremos luego”.
Y eso es precisamente lo que hace que FortiBleed sea tan inquietante: no solo demostró que incluso el firewall puede traicionarte, sino que dejó una lección incómoda para cualquiera que trabaje en IT: en ciberseguridad, tener todo en "verde" y actualizado no siempre significa estar seguro. A veces, cuando crees que el perímetro sigue protegiéndote, el atacante ya está más cómodo en tu red que tú un viernes a las 15:00 saliendo del trabajo.