Según un reporte de AWS, una ofensiva automatizada empleando herramientas de inteligencia artificial ha explotado configuraciones expuestas de dispositivos FortiGate en más de 55 países, afectando a cientos de organizaciones y subrayando los riesgos de una administración de la red débil y sin adecuadas medidas defensivas.
De acuerdo con un reporte de AWS, más de 600 instancias de firewalls FortiGate han sido comprometidos en una campaña de ciberataques automatizados que emplea herramientas basadas en inteligencia artificial para acelerar la identificación de redes vulnerables y la explotación de credenciales débiles. El grupo responsable, identificado como un actor de habla rusa, ha generado preocupación en la comunidad de seguridad debido a la escala y sofisticación mecánica de sus operaciones, que según expertos “no se basan en una vulnerabilidad de software específica, sino en configuraciones expuestas y prácticas de seguridad deficientes”.
El proveedor de servicios en la nube Amazon Web Services (AWS) detalló que la campaña ha afectado dispositivos ubicados en al menos 55 países. En muchos casos, los atacantes emplearon herramientas de IA para generar secuencias de ataque que se adaptan rápidamente al entorno y explotan credenciales por defecto o puertos de administración expuestos directamente a internet. Según AWS, la automatización permitió a los atacantes “escalar la velocidad y el alcance de los intentos de acceso”, comprometiendo dispositivos que carecían de autenticación multifactor o configuraciones de seguridad robustas.
El reporte indica que los atacantes utilizaron servicios comerciales de generación de código en combinación con bots automatizados para iterar sobre posibles vectores de acceso y ejecutar comandos maliciosos de forma masiva. “El actor de amenazas empleó servicios de IA para ayudar a comprometer más de 600 dispositivos FortiGate en todo el mundo”, señala uno de los reportes técnicos, destacando que el componente de IA facilitó significativamente la preparación y despliegue de scripts de ataque.
Otra característica de esta campaña es que no depende de un exploit de día cero o una falla específica en el firmware de FortiGate. En contraste, los atacantes identificaron sistemas donde los puertos de administración estaban accesibles públicamente y las credenciales seguían siendo las predeterminadas o fácilmente adivinables. Este enfoque, aunque mucho más primitivo que el uso de vulnerabilidades sin parchear, demuestra cómo las herramientas potenciadas por IA pueden automatizar y ampliar técnicas tradicionales de fuerza bruta y reconocimiento de red en un corto período.
Expertos consultados en diferentes medios internacionales coincidieron en señalar que este tipo de ataque es especialmente peligroso porque muchas organizaciones no monitorean adecuadamente sus dispositivos de borde o han expuesto interfaces críticas sin controles adicionales de seguridad, como autenticación multifactor, listas de acceso IP o segmentación de redes. AWS instó a los administradores a revisar urgentemente sus configuraciones y a aplicar una serie de mejores prácticas que incluyan la deshabilitación de accesos directos al panel de administración desde internet, el endurecimiento de contraseñas y el empleo de soluciones de detección y respuesta continuas.
Tras el anuncio de AWS, varias organizaciones de diversos sectores confirmaron a diversos medios especializados haber encontrado actividad sospechosa en sus dispositivos FortiGate, y los informes coinciden en que los atacantes generalmente lograron persistencia temporal, ejecutar comandos remotos y, en algunos casos, establecer túneles que podrían servir para movimientos laterales dentro de redes comprometidas. Pese a lo anterior, no se reportaron incidentes masivos de robo de datos o apagones críticos derivados de esta campaña.