Fortinet ha empezado a publicar parches para corregir una vulnerabilidad crítica en FortiOS que ya está siendo explotada en entornos reales. Identificada como CVE-2026-24858 y con una puntuación CVSS alta (9.4), se trata de una falla de tipo bypass de autenticación relacionada con el mecanismo de inicio de sesión único (SSO) de FortiCloud, que además afecta a FortiManager y FortiAnalyzer y podría afectar a otros productos en investigación.
En términos sencillos, la vulnerabilidad permite a un atacante que disponga de una cuenta FortiCloud y de un dispositivo registrado aprovechar un acceso alternativo para iniciar sesión en dispositivos que pertenecen a otras cuentas cuando la función FortiCloud SSO está activada. Ese vector ha sido el utilizado por actores maliciosos para obtener control administrativo: han creado cuentas locales de administrador, modificado configuraciones para conceder acceso VPN a esas cuentas y han extraído configuraciones del cortafuegos para mantener presencia y pivotar en redes afectadas. Fortinet describe este abuso con más detalle en su análisis técnico publicado en su blog de PSIRT.
Es importante aclarar que la función FortiCloud SSO no viene activada en la configuración de fábrica. Solo entra en funcionamiento en escenarios donde un administrador registra el dispositivo en FortiCare desde la interfaz gráfica y activa explícitamente la opción de permitir inicios de sesión administrativos mediante FortiCloud SSO. Esto reduce el alcance potencial, pero no elimina el riesgo: si la funcionalidad ha sido habilitada en alguna instalación, esa instalación puede ser susceptible.
Ante el descubrimiento de la explotación, Fortinet adoptó varias medidas en la nube para mitigar el ataque. Entre las acciones que la compañía ha reportado están el bloqueo de cuentas FortiCloud utilizadas por los atacantes y la desactivación temporal de FortiCloud SSO a nivel de servicio en la nube, seguida de una reactivación parcial con restricciones que impiden el inicio de sesión desde dispositivos que no hayan sido actualizados. Los detalles y las versiones afectadas y corregidas se encuentran en el aviso oficial de seguridad de FortiGuard FG-IR-26-060.
La rapidez y la gravedad del problema han llevado a que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) incluya esta vulnerabilidad en su catálogo de vulnerabilidades explotadas conocidas (KEV), obligando a las agencias federales a remediarla de forma expedita. La notificación oficial de CISA explicando la inclusión en el catálogo está disponible aquí.
Si gestionas dispositivos Fortinet, la recomendación es abordar el riesgo con urgencia. Lo mínimo imprescindible pasa por actualizar los equipos a las versiones de firmware que corrigen la falla, pero también conviene auditar las configuraciones y los registros en busca de cuentas administrativas nuevas o cambios no autorizados: la presencia de usuarios locales creados recientemente, reglas de políticas con modificaciones inesperadas o entradas de VPN otorgando accesos amplios son señales de compromiso. Fortinet aconseja restaurar desde una copia de configuración conocida y limpia si se detectan anomalías y cambiar credenciales relevantes, incluidas las usadas contra directorios LDAP o Active Directory conectados a las FortiGate.
Más allá del parche, hay medidas operativas que ayudan a reducir exposición inmediata, como desactivar FortiCloud SSO si no es estrictamente necesario, revisar qué dispositivos están registrados en FortiCloud y comprobar la trazabilidad de las cuentas con permisos administrativos. Las guías y notas técnicas de Fortinet sobre cómo identificar indicadores de compromiso y los pasos recomendados están disponibles en sus comunicaciones oficiales PSIRT y en el análisis de abuso de SSO mencionado anteriormente.
Para seguir la información técnica consolidada sobre la vulnerabilidad puedes consultar la entrada en el repositorio de CVE y en la base de NIST, donde se resumen métricas y referencias públicas: CVE-2026-24858 y NVD: CVE-2026-24858.
La lección para administradores y responsables de seguridad es clara: la combinación de funciones de gestión remota y SSO añade conveniencia, pero también aumenta el vector de ataque si no se controla estrictamente quién y cómo se registran los dispositivos en servicios en la nube. La prudencia y la velocidad en aplicar actualizaciones y auditar configuraciones son la mejor defensa frente a explotaciones que ya están ocurriendo en el terreno.
Si crees que alguno de tus dispositivos Fortinet pudo verse comprometido, trata la infraestructura afectada como si ya hubiese sido vulnerada, notifica a los equipos de respuesta y, si procede, consulta con especialistas en incidentes para contener y limpiar la plataforma siguiendo las recomendaciones oficiales. Mantén bajo vigilancia las comunicaciones de Fortinet y de los organismos de seguridad para aplicar cualquier indicación adicional o parche complementario que aparezca.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...