En el mundo de la ciberseguridad, la confianza es la moneda de cambio más valiosa, pero también la más frágil. Las organizaciones confían en grandes proveedores de infraestructura de red para proteger sus activos digitales. Fortinet, uno de los líderes mundiales en este sector, publicó recientemente un análisis crítico sobre un abuso detectado en su sistema de inicio de sesión único (Single Sign-On, o SSO). Este incidente, que ha afectado a múltiples dispositivos FortiOS, FortiWeb y FortiProxy, resalta cómo una función diseñada para la comodidad —el SSO— puede convertirse en una puerta trasera peligrosa si no se implementa o protege correctamente.

¿Qué es la vulnerabilidad?

Para entender el problema, primero debemos visualizar cómo funciona el inicio de sesión único (SSO). Imagine que el SSO es como un “pasaporte diplomático” digital. En lugar de tener que mostrar su identificación en cada puerta de un edificio gubernamental (su red), usted muestra este pasaporte una sola vez en la entrada principal (FortiCloud) y obtiene acceso a todas las oficinas sin volver a ser interrogado.

La vulnerabilidad descubierta (identificada técnicamente bajo los códigos CVE-2025-59718 y CVE-2025-59719) es esencialmente un fallo en cómo los porteros del edificio verifican la autenticidad de ese pasaporte. Técnicamente, el fallo reside en la verificación de firmas criptográficas en los mensajes SAML (Security Assertion Markup Language). SAML es el lenguaje que usa el “pasaporte” para decirle al sistema “este usuario es legítimo”.

Debido a una implementación incorrecta en la verificación de estas firmas, un atacante pudo falsificar su propio pasaporte. No necesitaba robar una contraseña real ni hackear una cuenta existente. Simplemente, creó un mensaje SAML “artesanal” (manipulado) que el sistema Fortinet aceptó como válido erróneamente. Es como si alguien dibujara un pasaporte en una servilleta con crayones, pero debido a que el guardia de seguridad no revisó los sellos de seguridad holográficos, lo dejó pasar directamente a la oficina del director.

Lo alarmante de este caso particular, según la actualización de enero de 2026, es que incluso dispositivos que habían sido actualizados con los últimos parches de seguridad seguían siendo vulnerables a nuevas variantes de este ataque, lo que sugiere que los atacantes encontraron formas creativas de eludir las correcciones iniciales.

Los Riesgos: ¿Qué pasa cuando entran?

El riesgo de esta vulnerabilidad es crítico porque el acceso que se obtiene no es el de un usuario normal, sino el de un superadministrador. Una vez que el atacante cruza la puerta con su pase falsificado, tiene control total sobre el dispositivo.

Según el análisis de incidentes reales, los riesgos se materializan en las siguientes acciones maliciosas:

1. Persistencia y Creación de Cuentas Fantasma:
   Lo primero que hacen los atacantes es asegurarse de poder volver a entrar si la vulnerabilidad es corregida. Se ha observado que crean cuentas de administrador local con nombres que parecen inofensivos o técnicos, como cloud-init@mail.io o variantes similares. De esta forma, incluso si usted desactiva el SSO mañana, ellos ya tienen una llave de repuesto “legítima” para entrar por la puerta principal.

2. Robo de Configuraciones y Secretos:
   Con acceso total, los atacantes pueden exportar la configuración completa del firewall o dispositivo de seguridad. Esto es equivalente a robar los planos detallados de un banco, incluyendo dónde están las cámaras, los sensores de movimiento y las combinaciones de la bóveda. Con esta información, pueden planear ataques futuros más devastadores, descifrar contraseñas de VPN o entender la topología interna de la red de la víctima.

3. Modificación de Reglas de Seguridad:
   Un administrador ilegítimo puede cambiar las reglas del juego. Pueden abrir puertos para permitir la entrada de otros malware (como ransomware), redirigir tráfico sensible o deshabilitar las alertas de seguridad para operar en silencio.

4. Ataque a la Cadena de Suministro:
   Dado que FortiCloud gestiona múltiples dispositivos, un compromiso en este nivel podría teóricamente usarse para saltar a otros segmentos de la red, convirtiendo el dispositivo de seguridad en el punto de fallo de toda la organización.

Medidas de Corrección y Prevención

Dada la gravedad y la capacidad de los atacantes para eludir parches recientes, la respuesta debe ser inmediata y proactiva. Basándonos en las recomendaciones del equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Fortinet, estas son las acciones esenciales:

1. Desactivar el SSO de FortiCloud inmediatamente:
La medida más efectiva y recomendada actualmente no es solo “parchear”, sino cerrar la vía de entrada específica hasta que se garantice una solución definitiva. Debe deshabilitar la opción que permite el inicio de sesión administrativo mediante FortiCloud.

• En la interfaz gráfica (GUI): Busque la configuración de “System” o “Administrators” y apague el interruptor que dice “Allow administrative login using FortiCloud SSO”.

• En la línea de comandos (CLI): Es más rápido y seguro ejecutar el siguiente comando:

  config system global
set admin-forticloud-sso-login disable
end


Esto es equivalente a dejar de aceptar el “pasaporte diplomático” y obligar a todos a usar su identificación local tradicional.

2. Búsqueda de Indicadores de Compromiso (IOCs):
No asuma que está seguro solo porque ya cerró la puerta. Debe revisar si alguien entró mientras estaba abierta. Revise los registros (logs) de su sistema buscando:

• Inicios de sesión exitosos con el método sso desde direcciones IP desconocidas (se han reportado IPs como 104.28.244.115, aunque cambian frecuentemente).

• La creación de nuevos usuarios administradores que usted no autorizó, especialmente aquellos con nombres genéricos como cloud-init o fortinet-admin.

• Logs que muestren eventos de type="event" subtype="system" con el mensaje “Admin login successful” vía SSO en horarios inusuales.

3. Limpieza y Reinstalación (Si se confirma el ataque):
Si encuentra alguno de los indicadores anteriores, no intente simplemente borrar el usuario malicioso. Los expertos recomiendan tratar el sistema como totalmente comprometido. La única forma segura de recuperar la confianza es formatear el dispositivo y reinstalar el firmware desde una fuente oficial limpia (tftp), cargando después una configuración de respaldo (backup) previa a la fecha de la infección. Cambie todas las contraseñas y secretos (como claves pre-compartidas de VPN) que residían en el dispositivo, ya que el atacante probablemente se las llevó.

4. Restricción de Acceso Administrativo (Trusted Hosts):
Como regla general de higiene digital, nunca permita que el panel de administración de sus dispositivos de seguridad sea accesible desde todo internet. Configure “Trusted Hosts” (anfitriones de confianza) para que solo se pueda acceder a la administración desde direcciones IP específicas dentro de su red interna o VPN corporativa.

Conclusión

La vulnerabilidad de abuso de SSO en FortiOS nos recuerda una lección fundamental: la comodidad no debe sacrificar la seguridad. Aunque herramientas como el Single Sign-On facilitan la gestión diaria, también centralizan el riesgo. En este caso, un fallo en la validación criptográfica permitió a los atacantes caminar por la “alfombra roja” directamente hacia el corazón de las redes corporativas. La respuesta no es el pánico, sino la acción metódica: desactivar la función vulnerable, auditar los registros en busca de intrusos y endurecer las políticas de acceso administrativo. En la ciberseguridad moderna, la vigilancia constante es el único verdadero escudo.

Fuente:

• Fortinet Blog “Analysis of Single Sign-On Abuse on FortiOS” 22 Enero 2026