FortiBleed en Guatemala: credenciales de firewalls también aparecen en dominios .gt
FortiBleed no es solo otra noticia internacional sobre firewalls comprometidos.
La campaña expuso credenciales asociadas a equipos Fortinet en decenas de miles de organizaciones alrededor del mundo. Y Guatemala también aparece en el dataset.
En una revisión filtrada por dominios .gt y algunas marcas consultadas manualmente, identifiqué 60 dominios guatemaltecos con credenciales expuestas y 594 credenciales con conteo conocido. La lista incluye empresas privadas, universidades, instituciones públicas, una entidad militar y organizaciones de respuesta o servicio público.
No se publican credenciales. Solo conteos por dominio.
Qué es FortiBleed
A mediados de junio de 2026 varios equipos de investigación destaparon una campaña de robo masivo de credenciales contra firewalls FortiGate de Fortinet. Le pusieron FortiBleed. La idea de fondo es vieja y sigue funcionando: si un equipo de borde está expuesto a internet y guarda mal las contraseñas, tarde o temprano alguien las saca.
El contexto técnico alrededor de FortiBleed mezcla varios factores: credenciales recuperadas de configuraciones, hashing débil en versiones antiguas, exposición de administración/VPN y antecedentes recientes de fallas críticas en Fortinet, incluyendo CVE-2026-24858. El detalle del hashing es el que más pesa. En versiones viejas de FortiOS las contraseñas se guardaban con un esquema basado en SHA-256 que se rompe muy rápido en un cracking offline. Fortinet ya migró a PBKDF2 (en FortiOS 7.2.11, 7.4.8 y 7.6.1), pero el hash viejo sigue almacenado hasta que el administrador inicia sesión después de actualizar. Así que muchos equipos siguieron cargando el hash débil sin que nadie se diera cuenta.
Las cifras varían según quién las publique, pero todas son grandes. SOCRadar confirmó credenciales funcionando para más de 30,000 dispositivos, y otros reportes hablan de hasta 73,932 equipos en cerca de 200 países. Algunos reportes atribuyen la actividad a un operador o ecosistema rusoparlante y describen cracking offline a gran escala. Esa atribución debe leerse como referencia de fuentes externas, no como atribución independiente de este análisis.
Por qué no basta con parchear
Esto no se arregla con un parche y a dormir. El valor de FortiBleed no está en la vulnerabilidad puntual, está en la base de datos de credenciales validadas que queda dando vueltas. Un firewall comprometido se vuelve punto de escucha, ve el tráfico que pasa y recoge más credenciales. De ahí el salto a Active Directory y al resto de la red es cuestión de tiempo. Las credenciales siguen sirviendo mucho después de que el bug original se cerró, sobre todo donde no hay MFA en el acceso administrativo ni en la VPN.
El patrón completo es repetible y no es propiedad de Fortinet: interfaz de administración expuesta, credenciales ya circulando en mercados de infostealers, hashing débil y ausencia de MFA. Cualquier organización con una consola de administración viendo a internet entra en la misma película.
Guatemala en el dataset
La mayor exposición la lleva claro.com.gt, seguido de tigo.com.gt. A continuación el detalle completo, ordenado por sector.
Empresas privadas
| Dominio | Credenciales |
|---|---|
| claro.com.gt | 371 |
| tigo.com.gt | 81 |
| micoope.com.gt | 20 |
| slc.com.gt | 8 |
| megared.com.gt | 6 |
| quattro.com.gt | 4 |
| integratec.com.gt | 3 |
| promoagro.com.gt | 3 |
| apaesa.com.gt | 2 |
| casasantodomingo.com.gt | 2 |
| coide.com.gt | 2 |
| formulauno.com.gt | 2 |
| grandtikalfutura.com.gt | 2 |
| intercop.gt | 2 |
| oceana.com.gt | 2 |
| pharmadel.com.gt | 2 |
| rcn1.com.gt | 2 |
| summa.com.gt | 2 |
| accountax.com.gt | 1 |
| agen.com.gt | 1 |
| alumicentro.com.gt | 1 |
| cayala.com.gt | 1 |
| clt.com.gt | 1 |
| coinpro.com.gt | 1 |
| conseguros.com.gt | 1 |
| dhi.com.gt | 1 |
| ecotermo.com.gt | 1 |
| express.com.gt | 1 |
| fama.com.gt | 1 |
| ganoitouch.com.gt | 1 |
| grupodelta.com.gt | 1 |
| infinitum.com.gt | 1 |
| inversa.com.gt | 1 |
| labodegona.com.gt | 1 |
| laguardia.com.gt | 1 |
| lecleire.com.gt | 1 |
| mirari.com.gt | 1 |
| mumuso.com.gt | 1 |
| mundoverde.com.gt | 1 |
| quo.com.gt | 1 |
| somoscmi.com (CMI) | 1 |
| umbral.com.gt | 1 |
Sector público (.gob.gt)
| Dominio | Institución | Credenciales |
|---|---|---|
| villanueva.gob.gt | Municipalidad de Villa Nueva | 4 |
| infom.gob.gt | Instituto de Fomento Municipal | 3 |
| inacif.gob.gt | Inacif | 2 |
| mingob.gob.gt | Ministerio de Gobernación | 2 |
| congreso.gob.gt | Congreso de la República | 1 |
| conjuve.gob.gt | Conjuve | 1 |
| insivumeh.gob.gt | Insivumeh | 1 |
| lns.gob.gt | Laboratorio Nacional de Salud | 1 |
| mcd.gob.gt | Ministerio de Cultura y Deportes | 1 |
| rpi.gob.gt | Registro de la Propiedad Intelectual | 1 |
Sector militar (.mil.gt)
| Dominio | Institución | Credenciales |
|---|---|---|
| digecam.mil.gt | Digecam (control de armas y municiones) | 1 |
Educación (.edu.gt)
| Dominio | Institución | Credenciales |
|---|---|---|
| upana.edu.gt | Universidad Panamericana | 29 |
| asuncion.edu.gt | Colegio La Asunción | 2 |
| imb-pc.edu.gt | IMB-PC | 1 |
| village.edu.gt | Village School | 1 |
ONG y otros (.org.gt)
| Dominio | Institución | Credenciales |
|---|---|---|
| conred.org.gt | Conred | 1 |
| rgp.org.gt | RGP | 1 |
| mail.auxpmag.org.gt | Auxpmag | 1 |
La presencia de un dominio en el dataset no prueba por sí sola compromiso activo al momento de publicación. Indica exposición de credenciales asociadas a Fortinet que debe ser validada y rotada por la organización afectada.
Lo que preocupa del .gob.gt y .mil.gt
Lo que más me preocupa no son los números grandes de las telco, es el .gob.gt y el .mil.gt en la lista. Aparecen Gobernación, el Congreso, Inacif, Insivumeh, Conred y hasta Digecam. Son instituciones que manejan información sensible del Estado y terminan en el mismo dataset que cualquier comercio. Una sola credencial válida de VPN en una de estas entidades alcanza para que esto deje de ser un dato curioso.
Qué deben hacer las organizaciones
- Asumir que el equipo está comprometido si estuvo expuesto a internet. No esperar a confirmarlo.
- Restablecer las credenciales de administrador y de VPN. Todas.
- Activar MFA en el acceso administrativo y en la VPN.
- Revisar las versiones de FortiOS y forzar la limpieza del hash viejo (en 7.2.x y 7.4.x con
login-lockout-upon-weaker-encryptionen la política de contraseñas). - Monitorear los dominios propios en logs de infostealers antes de que alguien más lo haga.
Nota metodológica
Estos conteos provienen del set de credenciales asociado a FortiBleed, filtrado por dominios .gt y complementado con consultas manuales a marcas guatemaltecas relevantes. La lista no debe leerse como exhaustiva ni como confirmación de compromiso activo al momento de publicación. Debe leerse como señal de exposición que requiere validación, rotación de credenciales y revisión de accesos.
Al final, los equipos de borde son llaves de entrada a la red.
Si un FortiGate expuesto tuvo credenciales recuperables, si la VPN no tiene MFA o si las contraseñas no fueron rotadas después de actualizar, el riesgo sigue vivo aunque el parche ya esté instalado.
En Guatemala, la presencia de dominios .gob.gt, .mil.gt, universidades, telcos y empresas privadas en el dataset debería ser motivo para una revisión inmediata.
Fuentes técnicas: SOCRadar, Arctic Wolf, Hudson Rock, CSO Online y el análisis de Kevin Beaumont (DoublePulsar). Data GT: recopilación propia.