El peor error de seguridad que puede cometer una empresa no siempre nace de un ataque sofisticado. A veces nace el día en que instalan el equipo y nadie cambia la contraseña que venía en la caja.
Eso es lo que documentó esta semana la Agencia de Ciberseguridad de Estados Unidos (CISA), cuando emitió una alerta de emergencia sobre una campaña activa que lleva meses comprometiendo silenciosamente decenas de miles de dispositivos de seguridad en todo el mundo. La operación, bautizada FortiBleed por investigadores de SOCRadar, produjo una base de datos verificada de más de 86,000 credenciales de acceso funcionando para firewalls y puertas VPN de la marca Fortinet en 194 países. Según los analistas, eso equivale a aproximadamente la mitad de todos los dispositivos de ese tipo expuestos en internet a nivel global.
México figura entre los cinco países más afectados. El ranking que aparece en los reportes de SOCRadar, Hudson Rock y BleepingComputer —todos publicados entre el 18 y el 22 de junio— ubica a India y Estados Unidos en los primeros lugares, con México en tercera o cuarta posición junto con Taiwan y Colombia. Para el empresario en Puebla, en Monterrey o en la Ciudad de México, esto no es una estadística lejana: las credenciales robadas se están vendiendo en mercados criminales, organizadas por país, sector industrial, nivel de ingresos y número de colaboradores. Hay compradores activos buscando acceso a empresas mexicanas en este momento.
El análisis de la composición de los 86 mil dispositivos comprometidos revela algo que ningún director debería leer con calma. El 35 por ciento de los accesos robados corresponde a cuentas genéricas de administrador que nunca fueron renombradas. El 28.3 por ciento adicional son cuentas de sistema integradas del propio fabricante que nadie eliminó ni modificó. Juntas, esas dos categorías representan más del 63 por ciento de todos los dispositivos afectados. La conclusión de SOCRadar es lapidaria:
«Esto apunta directamente a un fallo generalizado de no renombrar cuentas predeterminadas ni rotar contraseñas de fábrica, dándole al atacante una lista de objetivos altamente confiable antes de necesitar cualquier intento de fuerza bruta.»
La mecánica del ataque es igualmente importante de entender. Los actores de amenaza —identificados como de habla rusa— construyeron scripts automáticos que prueban credenciales predeterminadas y previamente filtradas contra todos los dispositivos FortiGate accesibles en internet, las 24 horas del día. Una vez comprometido un dispositivo, este se convierte en punto de escucha pasivo: monitorea el tráfico VPN que circula por él, captura nuevas credenciales en tiempo real y las incorpora al sistema de escaneo. El ciclo se retroalimenta sin intervención humana. Para descifrar contraseñas almacenadas con algoritmos obsoletos, la operación utilizó un clúster de 45 procesadores gráficos dedicados al procesamiento offline. Nada de esto explotó una vulnerabilidad desconocida. Nada requirió meses de trabajo especializado. Funcionó porque las empresas nunca ejecutaron la acción más básica: cambiar la contraseña que venía de fábrica y mantener el firmware actualizado.
FortiBleed no es un problema exclusivo de la marca Fortinet. Es el ejemplo de esta semana. El mismo principio aplica a cualquier dispositivo en la infraestructura de una empresa que tenga credenciales predeterminadas sin cambiar o acceso de administración expuesto a internet sin autenticación en dos pasos: routers, switches, cámaras de vigilancia IP, sistemas de almacenamiento en red, impresoras conectadas. Todos los fabricantes los entregan con contraseñas documentadas en sus manuales. Todos los atacantes las conocen.
El contexto estadístico en México agrava la urgencia. El país registra 781 intentos de ataque de ransomware diarios y es el segundo más afectado en América Latina, según el Panorama de Amenazas de Kaspersky para 2025. Más del 60 por ciento de las pequeñas y medianas empresas mexicanas reportó incidentes de seguridad en el último año, la mayoría sin un plan de respuesta documentado, según Tantius. La combinación de esas cifras con la presencia explícita de México en el dataset de FortiBleed convierte este incidente en una señal que los líderes empresariales no pueden procesar en diferido.
Las empresas que revisen sus credenciales esta semana, actualicen el firmware de sus dispositivos de seguridad perimetral y activen la autenticación en dos pasos en sus accesos remotos habrán convertido la peor noticia de ciberseguridad de la semana en su mejor decisión del trimestre.
Lo que no puede esperar esta semana
1. Cambiar todas las contraseñas de dispositivos de seguridad perimetral, comenzando por los expuestos a internet.
2. Actualizar firmware de firewalls y VPN a versiones recientes (FortiOS 7.2.11 o superior para Fortinet).
3. Activar autenticación multifactor (MFA) en todos los accesos administrativos y VPN sin excepción.
4. Eliminar cuentas de administrador genéricas o predeterminadas del fabricante que nunca fueron renombradas.
5. Restringir las interfaces de administración para que no sean accesibles desde internet público.
6. Revisar registros de actividad en busca de sesiones anómalas o cambios de configuración no reconocidos.
Fuentes: CISA Advisory, 18 jun 2026 · SOCRadar Threat Research Unit · SecurityWeek · Hudson Rock · Kaspersky LATAM 2025
Sobre el autor
Guillermo Cobos es especialista en seguridad informática con enfoque en estrategia de protección para empresas medianas y pequeñas en México. Asesora a organizaciones en la definición de su postura de seguridad, gestión de riesgos y planes de respuesta a incidentes. Publica semanalmente en su blog y en este espacio un análisis del panorama de amenazas aplicado al contexto empresarial mexicano.
Consultas y contacto: [email protected]
Te comparto esta nota en el video:
Síguenos en todas nuestras redes:
Facebook: https://www.facebook.com/CareTelecom
X: https://twitter.com/caretelecom
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: [email protected]
Instagram: https://instagram.com/caretelecom
Spotify pódcast: Escudo Digital: https://spoti.fi/3FSvKoA
Foto de Magnific
miop
