- Actualización inmediata de FortiOS, FortiSandbox y FortiAnalyzer para evitar la ejecución remota de código.
- Mitigación de riesgos mediante la desactivación del acceso fabric y el bloqueo de puertos CAPWAP-CONTROL.
- Eliminación de la exposición de interfaces de administración a internet para reducir la superficie de ataque.
Si te dedicas a la gestión de redes, ya sabrás que mantener los equipos al día no es opcional, sino una cuestión de supervivencia. Recientemente, han saltado todas las alarmas debido a una serie de fallos de seguridad críticos en productos de Fortinet que dejan la puerta abierta de par en par a los ciberdelincuentes si no se toman cartas al asunto inmediatamente.
Lo más preocupante es que no hablamos de errores teóricos, sino de vulnerabilidades zero-day y exploits activos que permiten a atacantes remotos tomar el control total de la infraestructura sin necesidad de tener una sola contraseña. Vamos a analizar a fondo qué es lo que está pasando y cómo blindar tus sistemas para no acabar siendo la próxima víctima de un ataque masivo.
El peligro del SSO y la evasión de autenticación
Uno de los puntos más calientes ahora mismo es la CVE-2026-24858. Este fallo es especialmente peligroso porque afecta a la autenticación FortiCloud SSO. En esencia, permite que alguien con una cuenta de FortiCloud y un dispositivo registrado pueda colarse en otros dispositivos de Fortinet que pertenezcan a cuentas distintas, siempre que el SSO esté activo. Los atacantes ya están usando esto para crear cuentas de administrador locales y robar datos confidenciales.
Este problema no es moco de pavo y golpea a una cantidad ingente de versiones de FortiAnalyzer (desde la 7.0 hasta la 7.6), FortiManager, FortiOS y FortiProxy. Si tienes alguna de estas herramientas, lo primero que debes hacer es comprobar que estás en la última versión parcheada. Afortunadamente, Fortinet ha restringido el inicio de sesión SSO en versiones vulnerables, por lo que el riesgo se mitiga actualizando.
Otro golpe bajo viene con la CVE-2025-59718, que ha sido incluida en el catálogo KEV de CISA. Aquí el problema es la verificación incorrecta de firmas criptográficas en SAML, lo que permite saltarse la autenticación por completo mediante mensajes manipulados. Esto afecta a FortiOS, FortiWeb, FortiProxy y FortiSwitchMaster, dejando la red empresarial expuesta a intrusos que no necesitan credenciales para entrar.
Inyecciones SQL y fallos de control de acceso en EMS
El ecosistema de FortiClient EMS también ha estado en el ojo del huracán. Por un lado, la CVE-2026-21643 presenta una inyección SQL (SQLi) muy grave en la versión 7.4.4. Básicamente, el sistema no limpia bien los caracteres especiales en las solicitudes HTTP, lo que permite a un atacante remoto inyectar código malicioso en la base de datos y, en el peor de los casos, ejecutar comandos directamente en el servidor.
Para solucionar esto, es imperativo saltar a la versión 7.4.5 o superior. Si usas las ramas 8.0 o 7.2, puedes respirar tranquilo porque no están afectadas por este fallo concreto. Sin embargo, no bajes la guardia, ya que la CVE-2026-35616 ha traído problemas de control de acceso en las versiones 7.4.5 y 7.4.6 de EMS. Este error en la API permite que un actor externo ejecute comandos sin autenticación, comprometiendo totalmente la confidencialidad de los endpoints corporativos.
Amenazas en FortiSandbox y FortiAuthenticator
Si utilizas herramientas de análisis de amenazas o gestión de identidades, presta atención. La CVE-2026-39808 es una falla de inyección de comandos crítica en FortiSandbox y su versión PaaS. Al basarse en una neutralización inadecuada de elementos especiales, un atacante puede tomar el control total del sistema a través de la API sin necesidad de loguearse. A esto se suma la CVE-2026-39813, que permite el recorrido de directorios y la escalada de privilegios.
Por otro lado, FortiAuthenticator se enfrenta a la CVE-2026-44277, donde un control de acceso deficiente en los endpoints de la API permite la ejecución remota de código. Dado que este equipo gestiona la identidad de toda la empresa, un compromiso aquí es catastrófico, ya que el atacante podría manipular quién tiene acceso a qué en toda la organización.
Otros riesgos: FortiSIEM, FortiFone y FortiOS
El listado de vulnerabilidades es largo. En FortiSIEM tenemos la CVE-2025-64155, que permite ejecutar comandos del sistema operativo mediante paquetes TCP manipulados. En cuanto a FortiFone, la CVE-2025-47855 expone información sensible de la configuración del dispositivo a través de solicitudes HTTP/HTTPS, lo que facilita enormemente el reconocimiento previo a un ataque más complejo.
No podemos olvidar el desbordamiento de búfer en FortiOS (CVE-2025-25249), que aunque tiene una severidad alta (8.1), podría permitir la ejecución remota de código si el atacante envía paquetes diseñados específicamente. Para combatir esto, es vital actualizar FortiOS a las versiones 7.6.4, 7.4.9, 7.2.12, 7.0.18 o 6.4.17, según la rama que utilices.
Cómo proteger tu infraestructura ahora mismo
Para no liarte, la regla de oro es priorizar el parcheo según la criticidad. Primero ve a por los fallos de FortiSandbox y FortiAuthenticator que no requieren autenticación. Después, ataca los desbordamientos de memoria en FortiAnalyzer y FortiManager Cloud. Si no puedes actualizar en este mismo instante, existen algunas medidas de mitigación temporales que pueden salvarte el cuello.
Una de las recomendaciones más fuertes es deshabilitar el acceso «fabric» en las interfaces que estén expuestas a la red, dejando solo lo estrictamente necesario como HTTPS o SSH. Asimismo, es fundamental bloquear el tráfico CAPWAP-CONTROL en los puertos UDP 5246 a 5249 mediante políticas de local-in, permitiendo solo IPs de confianza. Evitar que las interfaces de administración den la cara a Internet es, sencillamente, el paso más inteligente que puedes dar.
La gestión de estas crisis no debe hacerse a ciegas. Es fundamental realizar copias de seguridad completas antes de cualquier actualización y definir una ventana de mantenimiento para no tirar abajo la producción. No cometas el error de pensar que «como no ha pasado nada, puede esperar»; en el mundo de la ciberseguridad, un sistema sin parchear es una invitación abierta para el ransomware.
Para mantener la red a salvo, es crucial combinar la actualización constante de los dispositivos con una segmentación estricta de la red y la auditoría frecuente de los logs de la API. La combinación de parches oficiales del PSIRT de Fortinet y el endurecimiento de las reglas del firewall es la única forma de reducir la superficie de ataque de manera efectiva y evitar que una vulnerabilidad técnica se convierta en un desastre operativo para la empresa.