La seguridad de la red ya no es solo cuestión de bloquear puertos y filtrar tráfico: los dispositivos que se colocan en el perímetro, como los cortafuegos de nueva generación (NGFW), se han convertido en puertas de entrada codiciadas por los atacantes. Recientemente, investigadores de seguridad han documentado una campaña en la que actores maliciosos han tomado como blanco dispositivos FortiGate para abrirse camino hacia redes de víctimas, obtener credenciales de cuentas de servicio y, desde ahí, moverse lateralmente dentro de infraestructuras críticas. El análisis detallado está disponible en el informe de SentinelOne, que describe cómo estas intrusiones aprovechan vulnerabilidades divulgadas y configuraciones débiles.
Un aspecto clave que explican los investigadores es el papel privilegiado que juegan los NGFW bien configurados: además de inspeccionar y filtrar tráfico, muchos se integran con servicios de autenticación como Active Directory (AD) o LDAP para mapear usuarios, aplicar políticas por rol y acelerar respuestas ante incidentes. Esa misma integración, cuando cae en manos equivocadas, se convierte en una escalera directa hacia los activos más sensibles de una organización. Como señalan los autores del reporte, el acceso a las credenciales de cuentas de servicio puede permitir autenticaciones automatizadas contra el directorio corporativo y operaciones que serían imposibles desde una cuenta estándar.
El modus operandi observado incluye aprovechar fallos ya conocidos en el propio firmware o en la exposición de credenciales administrativas débiles para extraer el fichero de configuración del aparato. En al menos un incidente documentado, los atacantes lograron crear una cuenta administrativa local llamada "support" y configurar reglas de firewall que permitían a esa cuenta circular entre zonas de red sin restricciones. Ese comportamiento es típico de lo que hacen los llamados initial access brokers: establecer y mantener un acceso persistente y comercializable hasta que otros delincuentes lo compran o lo usan para desplegar cargas dañinas.
La cronología del ataque muestra cómo una primera intrusión puede pasar meses siendo silenciosa: tras mantener el acceso, los adversarios volvieron a acceder al dispositivo meses después y extrajeron la configuración que contenía credenciales cifradas de servicios LDAP. Según SentinelOne, hubo evidencia de que esas credenciales fueron recuperadas en texto claro y utilizadas para autenticarse ante el AD con la cuenta del servicio "fortidcagent". Con ese nivel de privilegio los atacantes pudieron inscribir estaciones de trabajo fraudulentas en el dominio, ejecutar barridos de red y, en otros casos, desplegar herramientas de acceso remoto como Pulseway y MeshAgent para mantener control a distancia. El informe documenta además la descarga de malware desde almacenamiento en la nube usando PowerShell y la ejecución de una carga Java por DLL side‑loading que exfiltró la base de datos de AD (NTDS.dit) y la rama SYSTEM del registro hacia un servidor externo (indicador citado: "172.67.196[.]232" sobre el puerto 443).
Que el atacante llegara a extraer datos de NTDS.dit es especialmente grave: en ese fichero se almacenan hashes y objetos críticos del dominio, y su robo facilita la criba de contraseñas, escalada de privilegios y la preparación de campañas posteriores como el despliegue de ransomware o el robo de información a gran escala. Microsoft explica la sensibilidad del fichero y por qué su integridad y confidencialidad son fundamentales en la gestión de Active Directory en la documentación técnica del servicio de directorio (Active Directory: NTDS.DIT).
Este tipo de incidentes no sólo ilustran el riesgo técnico, sino también la cadena de consecuencias: un dispositivo diseñado para proteger la red puede convertirse en una palanca para controlarla si no se le aplican parches, si sus credenciales no se protegen adecuadamente, o si se le conceden permisos excesivos. Fortinet publica avisos de seguridad y parches para sus productos en su página oficial de avisos de seguridad, y mantener el firmware al día es una de las primeras líneas de defensa (Fortinet Security Advisories).
¿Qué deben hacer las organizaciones para reducir el riesgo? En primer lugar, aplicar parches con prioridad en dispositivos de borde y monitorizar cambios en las configuraciones. También es crucial reducir el alcance y los privilegios de las cuentas de servicio que usa el equipo de red: si una cuenta de un dispositivo puede autenticarse contra AD con permisos amplios, su compromiso tiene un impacto mucho mayor. Conviene además segregar funciones administrativas, limitar la exposición de interfaces de gestión a redes de confianza o VPNs, y auditar de forma continua los accesos y la creación de cuentas privilegiadas. Todo esto se complementa con la rotación y protección de claves y contraseñas, la implantación de MFA donde sea posible y la monitorización de tráfico saliente sospechoso hacia infraestructuras de terceros.
La lección es clara: los NGFW aportan valor porque conocen la red y pueden actuar con contexto, pero esa visibilidad no debe transformarse en una única llave maestra. Las organizaciones que dependen de estos equipos deben tratarlos con el mismo rigor que aplican a servidores críticos: parches rápidos, configuraciones mínimas, roles de servicio con privilegios limitados y monitorización especializada. La comunidad de seguridad y proveedores ya han mostrado que los atacantes apuntan a estos elementos; la respuesta práctica pasa por reducir la superficie de ataque y tener procedimientos de detección y respuesta afinados para cuando, inevitablemente, alguien consiga pasar la primera barrera.
Los detalles técnicos del caso y recomendaciones adicionales están en el informe de SentinelOne, y los avisos de Fortinet brindan la información necesaria para identificar y corregir fallos en versiones concretas. Proteger la puerta de entrada de la red hoy exige no solo buenos productos, sino mantenimiento diligente y una arquitectura que asuma que cualquier dispositivo puede ser comprometido y que limite el daño si eso ocurre.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...