El escenario que describen los equipos de respuesta y las empresas que han investigado la campaña es directo y rápido. Según reportes públicos de firmas del sector, a mediados de enero comenzaron a detectarse accesos anómalos que incluían la creación de cuentas administrativas con acceso VPN y la exfiltración de configuraciones de los equipos en cuestión en cuestión de segundos. La rapidez y la uniformidad de estas intrusiones hacen pensar en un proceso automatizado que aprovecha alguna ruta de ataque nueva o una forma de sortear la corrección previa.
Fortinet confirmó públicamente que la actividad observada en estas últimas semanas guarda similitud con las explotaciones documentadas en diciembre y que la compañía está trabajando para identificar y remediar por completo el vector responsable de las nuevas intrusiones. En su nota técnica sobre el abuso del SSO en FortiOS (ver comunicado de Fortinet) la empresa reconoce que, aunque hasta ahora la explotación conocida afecta a FortiCloud SSO, el problema subyacente se relaciona con implementaciones SAML SSO en general.
Los indicios que han compartido clientes y analistas ayudan a reconstruir parte del ataque: en varios registros de acceso se aprecia que las cuentas administrativas fueron creadas tras un inicio de sesión SSO desde la dirección de correo [email protected] y desde la IP 104.28.244.114, coincidencias que también fueron identificadas por la firma de seguridad que publicó observaciones sobre la campaña. Fortinet, por su parte, ha enumerado indicadores de compromiso que pueden emplearse para la búsqueda de evidencia en dispositivos potencialmente afectados (ver IOCs compartidos por Fortinet).
Para dimensionar la exposición, el grupo de vigilancia Shadowserver mantiene un seguimiento de equipos con FortiCloud SSO expuesto en Internet y su tablero muestra cerca de 11.000 dispositivos accesibles públicamente con ese servicio activado (ver panel de Shadowserver). Esa cifra explica por qué la adición del CVE-2025-59718 a la lista de vulnerabilidades explotadas activamente de la agencia estadounidense CISA generó medidas urgentes: el 16 de diciembre CISA incorporó esta falla a su catálogo y ordenó a agencias federales aplicar parches en plazos ajustados (comunicado de CISA, entrada en el catálogo).
Ante este panorama, las recomendaciones prácticas son claras y urgentes. Fortinet ha sugerido limitar el acceso administrativo desde Internet aplicando una política local-in que restrinja las direcciones IP autorizadas a administrar los dispositivos; la documentación oficial explica cómo aplicar esa política en FortiGate (más información sobre local-in policy). Además, mientras se entrega una corrección definitiva, la compañía aconseja desactivar la opción de iniciar sesión administrativamente mediante FortiCloud SSO en las configuraciones del sistema y verificar cualquier rastro de compromiso en los registros.
Si, al revisar las máquinas, se encuentran los indicadores de compromiso asociados a esta campaña, la recomendación operativa es tratar el equipo y su configuración como comprometidos: cambiar todas las credenciales relevantes, incluyendo cuentas LDAP/AD que puedan haber quedado expuestas, y restaurar la configuración desde una copia de seguridad conocida como limpia. Fortinet ha publicado pasos técnicos y recursos en su comunidad para guiar la respuesta (ver sugerencias en la comunidad de Fortinet).
Más allá de este incidente concreto, hay dos lecciones que conviene interiorizar. La primera es que las soluciones de autenticación centralizada como SAML/SSO, que ofrecen comodidad y control, también concentran riesgo: una vulnerabilidad en esa cadena de confianza puede dar acceso amplio y rápido a un atacante. La segunda es que el hecho de haber aplicado un parche no garantiza que la exposición haya desaparecido; siempre existen casos en los que surgen rutas alternativas de explotación o la corrección no cubre escenarios imprevistos. Por eso, en entornos críticos, las medidas de defensa en profundidad —segmentación de acceso, whitelisting de IPs para administración, supervisión continua de logs y restauración desde backup limpio— siguen siendo imprescindibles.
Si gestionas Fortinet en una red empresarial, conviene actuar de inmediato: revisar la configuración de FortiCloud SSO, auditar los accesos recientes, aplicar bloqueos de administración desde Internet y preparar planes de respuesta que incluyan la rotación de credenciales y la restauración segura. Muchas de estas instrucciones están detalladas en las fuentes oficiales enlazadas en este artículo; revisarlas y seguirlas reduce notablemente la probabilidad de sufrir una intrusión similar.
La situación sigue en desarrollo y tanto proveedores de seguridad como fabricantes continuarán publicando actualizaciones técnicas. Para mantenerte al día y contrastar información, consulta las publicaciones de los fabricantes y las alertas de organismos como CISA, además de informes de empresas de respuesta que monitorean actividad maliciosa en el terreno. En un entorno donde los ataques se automatizan y se propagan con rapidez, la prevención activa y la detección temprana son la mejor defensa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...