Un nuevo episodio inquietante en el universo de la ciberseguridad ha saltado a la luz: investigadores de la firma Arctic Wolf detectaron a mediados de enero de 2026 una campaña automatizada que está cambiando configuraciones de cortafuegos Fortinet FortiGate sin autorización. Según el análisis publicado por la compañía, los atacantes han aprovechado fallos en el flujo de inicio de sesión único (SSO) ligado a FortiCloud para acceder a consolas administrativas y exfiltrar archivos de configuración.
La mecánica técnica que permite esta intrusión se apoya en mensajes SAML manipulados para sortear la autenticación cuando la funcionalidad de SSO de FortiCloud está activada en dispositivos afectados. Arctic Wolf identifica que las familias de productos alcanzadas incluyen FortiOS, FortiWeb, FortiProxy y FortiSwitchManager, y conecta esta actividad con vulnerabilidades ya catalogadas en el ecosistema Fortinet. En su informe puede leerse un análisis detallado de las señales observadas y de la secuencia de acciones del atacante: informe de Arctic Wolf.
Los investigadores describen un patrón repetitivo: inicios de sesión SSO contra una cuenta sospechosa denominada [email protected] desde un conjunto concreto de direcciones IP, y a continuación la exportación de los ficheros de configuración vía la interfaz gráfica hacia esas mismas direcciones. Las direcciones señaladas por Arctic Wolf incluyen 104.28.244.115, 104.28.212.114, 217.119.139.50 y 37.1.209.19. Además de esa cuenta inicial, los atacantes crean cuentas secundarias con nombres genéricos —por ejemplo secadmin, itadmin, support, backup, remoteadmin o audit— con la aparente intención de mantener acceso persistente al dispositivo.
Un rasgo que los analistas destacan es la velocidad: todos los eventos relevantes suceden en cuestión de segundos, lo que sugiere que la operación está automatizada. Esa automatización facilita que el atacante realice cambios de configuración para otorgar acceso VPN a las cuentas creadas y, en algunos casos, descargue la configuración completa del cortafuegos. Es importante recalcar que un archivo de configuración de un dispositivo de seguridad suele contener reglas, rutas, certificados y, en ocasiones, credenciales o referencias a secretos que un adversario puede reutilizar para moverse lateralmente en una red o mantener acceso prolongado.
La publicación de Arctic Wolf llega a la vez que usuarios en foros públicos reportan comportamientos anómalos. En un hilo de Reddit varios administradores de Fortinet comentan inicios de sesión SSO maliciosos en equipos con parches aplicados, y uno de los participantes afirma que un equipo de desarrollo de Fortinet confirmó problemas persistentes en la versión 7.4.10. Puede consultarse la discusión en Reddit aquí: hilo en Reddit. Mientras tanto, Fortinet mantiene su portal de avisos de seguridad y documentación de producto donde se publican parches y recomendaciones oficiales: Fortinet Security Advisories y documentación técnica de Fortinet.
Si bien la confirmación oficial y los parches definitivos dependen del fabricante, Arctic Wolf y otros expertos ya han propuesto medidas de mitigación inmediatas. Entre las acciones más urgentes se incluye desactivar la opción que permite el inicio de sesión administrativo vía FortiCloud SSO en los equipos afectados (admin-forticloud-sso-login), revisar la lista de administradores locales para detectar cuentas desconocidas, exportar y analizar los registros de acceso y las exportaciones de configuración, y limitar el acceso a las interfaces de gestión mediante listas de control de acceso o túneles administrativos desde direcciones IP de confianza.
Es clave actuar con rapidez pero con método: deshabilitar la funcionalidad vulnerable reduce la superficie de exposición, pero no sustituye a un proceso de comprobación integral. Tras desactivar SSO conviene auditar todos los cambios recientes, comprobar integridad y confianza de certificados, forzar el cambio de contraseñas y claves afectadas, y cercar las cuentas recién creadas. Los equipos de respuesta deben buscar signos de movimientos laterales o de creación de puertas traseras adicionales, ya que la exposición de archivos de configuración puede haber proporcionado al atacante más información para pivotar dentro del entorno.
Para quienes gestionan FortiGate y otros productos de la familia Fortinet, la recomendación práctica a corto plazo es seguir las indicaciones de los proveedores de seguridad y actualizar a la versión que Fortinet publique oficialmente para corregir las vulnerabilidades subyacentes. Mientras tanto, resulta prudente aplicar controles compensatorios: restringir el acceso administrativo, monitorizar exportaciones y descargas de configuración, y mantener un registro de las direcciones IP desde las que se producen los accesos. Si necesita una referencia sobre por qué las vulnerabilidades en flujos SAML pueden ser críticas, puede consultarse material técnico sobre SAML y sus vectores de abuso en la comunidad de seguridad: documentación de OWASP sobre SAML.
La situación es un recordatorio de que los mecanismos de conveniencia como el SSO en la nube traen beneficios operativos, pero también riesgos si no se combinan con controles de endurecimiento y supervisión continua. Los equipos de seguridad y operaciones deben asumir que los intentos automatizados de explotación continuarán hasta que se apliquen mitigaciones definitivas, y organizar sus respuestas en consecuencia: cierre de vectores, auditoría forense y despliegue de parches oficiales cuando estén disponibles.
Seguiremos la evolución del incidente y las publicaciones oficiales de Fortinet y de centros de respuesta para actualizar cualquier recomendación. Mientras tanto, puede leer el análisis de Arctic Wolf y verificar las guías y avisos de Fortinet en los enlaces citados arriba.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...