Un atacante con habilidades técnicas limitadas acaba de comprometer más de 600 firewalls FortiGate en 55 países. No usó un exploit de día cero. No tenía un equipo sofisticado detrás. Usó inteligencia artificial para automatizar todo el proceso — desde el escaneo hasta la exfiltración de credenciales.
Si su empresa tiene un FortiGate expuesto a internet con contraseñas débiles o sin autenticación multifactor, este artículo es urgente.
Qué pasó: CyberStrikeAI y la nueva realidad de los ataques automatizados
Entre enero y febrero de 2026, investigadores de Team Cymru y Fortinet documentaron una campaña masiva contra dispositivos FortiGate en todo el mundo. El actor de amenazas — identificado como rusoparlante y con motivación financiera — utilizó una plataforma de código abierto llamada CyberStrikeAI para orquestar los ataques a escala.
CyberStrikeAI es una herramienta desarrollada por un programador chino y publicada en GitHub. Integra más de 100 herramientas de seguridad ofensiva, servicios de IA generativa y un motor de orquestación completo. En la práctica, permite que alguien sin experiencia avanzada ejecute campañas que antes requerían equipos especializados.
Lo que hace diferente a esta campaña es que no explotó vulnerabilidades de software. Los atacantes comprometieron dispositivos a través de puertos de administración expuestos a internet y credenciales débiles con autenticación de un solo factor. La IA no encontró un fallo técnico nuevo — amplificó errores humanos básicos que ya existían.
Cómo funciona un ataque asistido por IA contra infraestructura de red
La plataforma CyberStrikeAI automatiza el ciclo completo del ataque:
Reconocimiento automatizado
La herramienta escanea rangos de direcciones IP buscando puertos de administración FortiGate abiertos (443, 8443, 10443). La IA prioriza objetivos según exposición y probabilidad de credenciales por defecto.
Fuerza bruta inteligente
En lugar de probar miles de combinaciones de forma secuencial, el sistema usa modelos de lenguaje para generar listas de credenciales probables basadas en patrones comunes en dispositivos de red empresariales.
Persistencia y exfiltración
Una vez dentro, el atacante crea cuentas de administrador ocultas, modifica reglas de firewall y extrae configuraciones completas del dispositivo — incluyendo credenciales de VPN y políticas de seguridad.
Los investigadores detectaron 21 direcciones IP ejecutando CyberStrikeAI entre enero y febrero de 2026, alojadas principalmente en servidores en China, Singapur y Hong Kong.
La evaluación formal del atacante fue reveladora: "capacidad técnica base baja a media, significativamente aumentada por IA". Es decir, la inteligencia artificial no reemplazó al atacante — lo multiplicó.
Lo que esto cambia en el modelo de amenazas
Hasta ahora, la mayoría de los ataques a infraestructura de red a escala provenían de grupos APT con recursos estatales o de redes de cibercrimen organizadas con años de experiencia. CyberStrikeAI democratiza esa capacidad. Un individuo con motivación financiera y acceso a herramientas de IA gratuitas puede ahora ejecutar campañas que antes requerían presupuestos de seis cifras y equipos de diez personas.
Esto no es especulación. Los 21 servidores detectados ejecutando la herramienta operaron durante semanas antes de ser identificados. El desarrollador de la herramienta tiene en su perfil de GitHub una mención al programa de recompensas de vulnerabilidades CNNVD 2024, administrado por una entidad bajo supervisión del Ministerio de Seguridad del Estado chino.
Para las empresas en LATAM, esto significa que la barrera de entrada para atacar su infraestructura acaba de bajar significativamente. Ya no necesitan ser un objetivo específico de un grupo sofisticado — basta con tener un puerto expuesto en el rango equivocado.
Impacto para empresas en Panamá y Latinoamérica
LATAM fue una de las regiones afectadas. Los clusters comprometidos se detectaron en América del Sur, el Caribe, Centroamérica y otras regiones.
¿Por qué esto es especialmente preocupante para nuestra región?
FortiGate es el firewall dominante en empresas medianas de LATAM. Muchas organizaciones en Panamá, Colombia, Ecuador y Centroamérica dependen de FortiGate como su primera (y a veces única) línea de defensa perimetral.
Los puertos de administración abiertos son más comunes de lo que deberían. En mi experiencia trabajando con empresas reguladas en la región, es frecuente encontrar interfaces de administración accesibles desde internet — a veces por conveniencia, a veces porque nadie revisó la configuración después de la instalación inicial.
La autenticación multifactor sigue siendo la excepción. CISA ya emitió una alerta específica sobre CVE-2026-24858, un bypass de autenticación en FortiCloud SSO. Pero incluso sin esa vulnerabilidad, los dispositivos con autenticación de un solo factor son blancos triviales para ataques automatizados con IA.
Desde la perspectiva regulatoria, la Ley 81 de protección de datos de Panamá exige que las organizaciones implementen medidas técnicas proporcionales al riesgo. Un firewall con credenciales por defecto o sin MFA no cumple ese estándar, y un incidente derivado de esa negligencia tiene implicaciones legales directas.
Qué puede hacer su empresa hoy
Estas son cinco acciones concretas que su equipo de TI puede ejecutar esta semana:
-
Audite los puertos de administración de sus FortiGate. Verifique que las interfaces de gestión (HTTPS admin, SSH) no estén accesibles desde internet. Si necesitan acceso remoto, restrinja por IP de origen o use VPN.
-
Active autenticación multifactor en todos los dispositivos de red. No solo en FortiGate — en switches, access points y cualquier consola de administración. MFA resistente a phishing (FIDO2, certificados) es lo ideal; TOTP es el mínimo aceptable.
-
Revise las cuentas de administrador existentes. Busque cuentas que no reconozca. Los atacantes en esta campaña crearon cuentas ocultas para mantener acceso persistente. Compare contra su inventario autorizado.
-
Actualice el firmware a la última versión estable. Fortinet ha publicado parches para CVE-2026-24858 y otras vulnerabilidades recientes. Un programa de gestión de vulnerabilidades estructurado evita que estos parches se acumulen.
-
Implemente monitoreo de cambios en configuración. Si alguien modifica una regla de firewall o crea una cuenta nueva, su equipo debe saberlo en minutos, no en semanas. La detección temprana es la diferencia entre un incidente menor y una brecha completa.
Preguntas frecuentes
¿Los ataques con IA son más peligrosos que los tradicionales?
No necesariamente más peligrosos en técnica, pero sí más escalables. Lo que antes requería un equipo de atacantes experimentados ahora puede hacerlo una persona con herramientas de IA. El volumen y la velocidad del ataque cambian radicalmente — 600 dispositivos en 55 países en menos de 40 días.
¿Mi empresa está en riesgo si usa FortiGate?
FortiGate en sí no es inseguro. El riesgo está en la configuración: puertos de administración expuestos, credenciales débiles y falta de MFA. Si su FortiGate está correctamente configurado y actualizado, su exposición es significativamente menor.
¿La Ley 81 de Panamá cubre este tipo de incidentes?
Sí. La Ley 81 exige medidas técnicas y organizativas para proteger datos personales. Si una brecha ocurre porque su firewall tenía credenciales por defecto, el regulador puede considerar que no se implementaron controles proporcionales al riesgo, lo que implica responsabilidad legal y posibles sanciones de hasta $100,000.