Fortinet ha reconocido que está investigando un nuevo vector de ataque que permite saltarse la autenticación SSO en dispositivos que usan FortiCloud, incluso en aparatos que habían sido actualizados recientemente. En los últimos días la compañía detectó accesos maliciosos que no respetaban las correcciones aplicadas previamente a dos vulnerabilidades asignadas como CVE-2025-59718 y CVE-2025-59719, lo que sugiere que los atacantes han encontrado una ruta alternativa para autenticar sesiones sin pasar por el flujo legítimo de SAML.
Los incidentes reportados muestran un patrón claro: intrusos que inician sesión mediante el mecanismo de FortiCloud SSO, crean cuentas genéricas para mantener acceso persistente, modifican la configuración para permitirles conectarse mediante VPN y extraen las configuraciones del cortafuegos hacia servidores externos. Entre los nombres de cuenta observados por los investigadores figuran "[email protected]" y "[email protected]", etiquetas que sirven para rastrear la actividad y comprobar si un dispositivo ha sido comprometido.
Es importante entender por qué esto es grave. SAML (Security Assertion Markup Language) es un estándar ampliamente usado para delegar la autenticación entre proveedores de identidad y servicios; cuando ese mecanismo falla, un atacante puede suplantar a administradores sin necesidad de credenciales válidas. Si quieres profundizar en cómo funciona SAML y por qué cualquier fallo en su implementación puede tener consecuencias amplias, hay buenas explicaciones técnicas en la documentación oficial de OASIS y en análisis divulgativos como el de Cloudflare: especificación SAML v2.0 (OASIS) y explicación práctica de SAML por Cloudflare.
Fortinet ha publicado un análisis público de esta campaña y de la explotación del SSO que está estudiando y mitigando activamente; su reporte técnico detalla los hallazgos y las medidas temporales recomendadas por el fabricante. Puedes consultar esa nota en su blog oficial para ver la información directamente de la fuente: análisis de abuso de SSO en FortiOS (Fortinet). Además, las vulnerabilidades relacionadas aparecen registradas en los listados públicos de CVE para referencia técnica: CVE-2025-59718 y CVE-2025-59719.
Mientras Fortinet trabaja para cerrar por completo la nueva vía de ataque, hay varias acciones urgentes que las organizaciones con dispositivos FortiGate deberían tomar. En primer lugar conviene reducir la exposición administrativa de los equipos hacia Internet, aplicando políticas de acceso local y limitando qué direcciones pueden alcanzar los puertos de gestión. Otra medida práctica es desactivar temporalmente los inicios de sesión de FortiCloud SSO —la opción identificada como admin-forticloud-sso-login— hasta que se confirme que la corrección cubre el nuevo vector. También es crítico auditar las cuentas administrativas existentes, buscar la presencia de los nombres observados por los investigadores y revisar cambios en las políticas VPN y exportaciones de configuración que pudieran indicar exfiltración.
Además de las medidas puntuales, conviene adoptar medidas de detección y contención: revisar registros de autenticación y del sistema para detectar inicios de sesión SSO inusuales, aplicar alertas para la creación de cuentas administrativas y la modificación de reglas de acceso remoto, y, si se confirma compromiso, aislar los dispositivos afectados y restaurar configuraciones desde copias de seguridad previas al incidente. No hay que olvidar reforzar la postura general: aplicar autenticación multifactor donde sea posible, rotar credenciales y mantener un inventario y control de cambios riguroso para los dispositivos de borde.
Este incidente también deja una enseñanza más amplia: aunque la explotación observada se ha centrado en FortiCloud SSO, las fallas en implementaciones de SAML pueden afectar a cualquier proveedor o producto que dependa de este estándar para el inicio de sesión único. Por eso es recomendable que equipos de seguridad corporativos revisen todas las integraciones SAML que tengan desplegadas, analicen la posibilidad de ataques de suplantación de aserciones y consulten publicaciones de sus proveedores y de agencias de ciberseguridad para medidas específicas.
La situación sigue evolucionando y Fortinet ha indicado que está desplegando correcciones adicionales para cerrar la nueva vía de ataque detectada. Mantenerse informado con las comunicaciones oficiales del proveedor y las alertas de seguridad públicas es clave para reaccionar con rapidez. Para un seguimiento técnico y las recomendaciones oficiales revisa el comunicado del fabricante y las entradas CVE citadas anteriormente.
Si administras FortiGate en tu red y no has tomado ya ninguna de estas medidas, actúa cuanto antes: limita el acceso administrativo desde Internet, desactiva el SSO de FortiCloud si no es imprescindible y monitorea señales de compromiso. En un mundo donde las herramientas de autenticación única ganan terreno, la seguridad de su implementación es tan fuerte como la más débil de sus integraciones.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...