Los administradores de redes que usan dispositivos FortiGate llevan días con la alerta encendida: lo que parecía un fallo ya corregido en la autenticación de FortiCloud SSO (identificado como CVE-2025-59718) está siendo de nuevo explotado para tomar el control de firewalls incluso en equipos con parches recientes. Informes de usuarios y análisis de incidentes apuntan a que la actualización anunciada como solución no cerró por completo la vía de acceso, lo que permitió a atacantes crear cuentas administrativas remotas y gestionar dispositivos como si tuvieran credenciales legítimas.
La situación acumula varias señales de gravedad: evidencias de explotación activa, registros compartidos por administradores y la inclusión de la vulnerabilidad en listados oficiales de riesgo. En foros técnicos, varios administradores han publicado registros donde se observa la creación de un usuario administrador tras un inicio de sesión SSO procedente de una cuenta identificada como [email protected] y de la dirección IP 104.28.244.114, un patrón que coincide con incidentes detectados previamente en diciembre. Esos mismos administradores indican que sus dispositivos ejecutaban versiones que deberían haber corregido el fallo, lo que sugiere que el parche original no cerró todos los vectores de explotación.
Fortinet publicó una nota técnica sobre este incidente en su portal de seguridad (PSIRT), donde explica el alcance del problema y las mitigaciones recomendadas; es la referencia oficial para comprobar versiones afectadas y las actualizaciones programadas: Fortinet PSIRT — FG-IR-25-647. Por su parte, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ya añadió esta entrada a su catálogo de vulnerabilidades explotadas activamente, lo que obliga a organismos federales a aplicar medidas en plazos cortos: CISA — Known Exploited Vulnerabilities (CVE-2025-59718).
Un factor que aumenta el riesgo es la exposición pública de dispositivos con FortiCloud SSO activado. En diciembre, Shadowserver informó que había más de 25.000 dispositivos alcanzables por Internet con esa característica habilitada; desde entonces varios miles han sido desactivados, pero todavía quedan más de 11.000 equipos potencialmente accesibles desde la red pública: Shadowserver — FortiCloud SSO expuestos.
Mientras Fortinet prepara nuevas versiones del sistema operativo (FortiOS 7.4.11, 7.6.6 y 8.0.0, según comunicaciones internas y reportes de administradores) para cerrar definitivamente el fallo, la recomendación práctica y de urgencia para quienes puedan estar en riesgo es desactivar temporalmente la posibilidad de inicio de sesión administrativo mediante FortiCloud SSO. Esa funcionalidad no viene activada por defecto en dispositivos que no están registrados con FortiCare, pero en los que sí lo está puede convertirse en la puerta de entrada que están aprovechando los atacantes.
Si gestionas FortiGate, puedes desactivar el inicio de sesión FortiCloud SSO desde la interfaz gráfica navegando a System → Settings y poniendo en Off la opción "Allow administrative login using FortiCloud SSO". Si prefieres la línea de comandos, las instrucciones para desactivarla son sencillas; ejecuta las siguientes órdenes en el CLI del dispositivo:
config system global
set admin-forticloud-sso-login disable
end
Desactivar esa opción reduce de inmediato la superficie de ataque, pero no es la única medida razonable. Conviene auditar los usuarios locales y los registros de acceso para detectar cuentas nuevas o actividad inusual, revisar los logs del SIEM o de gestión centralizada para rastrear inicios de sesión SSO sospechosos, y poner en cuarentena cualquier equipo que presente signos de compromiso. Si detectas cuentas administrativas que no hayas creado tú, aíslalas y trata el incidente como una intrusión: cambia contraseñas, revoca claves y certificados comprometidos y restablece la integridad del dispositivo a partir de copias de seguridad verificadas antes de reconectar a producción.
La comunidad de seguridad ya ha documentado patrones de explotación que apuntan al envío de mensajes SAML manipulados como vector para la suplantación y creación de cuentas con privilegios. Análisis previos, difundidos por firmas de ciberseguridad, vinculan los incidentes de diciembre con embriones del mismo modus operandi que se está observando ahora; por eso resulta clave no solo aplicar el bloqueo temporal, sino mantenerse atento a nuevas actualizaciones oficiales de Fortinet y aplicarlas tan pronto como se confirmen como completas.
Finalmente, y aunque la mitigación principal es técnica, hay una dimensión operativa importante: comunicar de forma clara y rápida a los equipos afectados, coordinar con soporte del proveedor y, si procede, con entidades regulatorias, y conservar evidencias para el análisis forense. La comunicación pública sobre estos incidentes ya está circulando en foros especializados —por ejemplo, administradores han publicado referencias y muestras de logs en hilos técnicos— y las autoridades y grupos de respuesta están siguiendo el desarrollo. Para más contexto y fuente oficial, revisa el aviso de Fortinet y la entrada del catálogo de CISA antes citados.
La lección inmediata para responsables de seguridad es sencilla pero contundente: si tu FortiGate tiene FortiCloud SSO habilitado, desactívalo ahora y vigila signos de acceso no autorizado hasta que Fortinet publique y verifiques un parche que cierre todas las variantes del bypass.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...