Un corredor de acceso inicial de habla rusa lideró la operación FortiBleed, afectando a más de 430,000 firewalls FortiGate mediante el robo masivo de credenciales. Utilizaron herramientas automatizadas y sniffers para capturar datos de autenticación, impactando especialmente a pymes y sectores de servicios IT en EE. UU. e India. Esta campaña formó parte de un ataque multimarca más amplio que comprometió millones de cuentas en diversos dispositivos de red y servidores.

Una exhaustiva campaña de ciberespionaje denominada "FortiBleed" ha comprometido silenciosamente más de 73,932 URLs únicas de firewalls de Fortinet en 194 países. Esta operación, descubierta por el investigador Volodymyr "Bob" Diachenko y analizada por Hudson Rock, representa una acción a escala industrial y altamente automatizada dirigida contra dispositivos FortiGate y pasarelas SSL VPN a nivel global.

Fortinet ha revelado una vulnerabilidad de seguridad crítica en su línea de productos FortiSandbox (identificada como CVE-2026-25089), la cual permite que atacantes remotos no autenticados ejecuten comandos arbitrarios del sistema operativo a través de la interfaz web. Este fallo, con una puntuación de riesgo de 9.1 (Crítica), afecta a diversas versiones de FortiSandbox, incluyendo sus despliegues en la nube (Cloud) y PaaS.

The Gentlemen, un grupo de ransomware de habla rusa, se ha posicionado como una de las amenazas más activas de 2026, siendo superado únicamente por Qilin. Sus tácticas incluyen la explotación de vulnerabilidades de Fortinet, el uso de IA para optimizar sus operaciones y un marco de comando y control (C2) personalizado que logra evadir la mayoría de las herramientas de seguridad.

Ciberdelincuentes explotaron una falla crítica en FortiClient EMS (CVE-2026-35616) para distribuir un malware que roba credenciales disfrazado de actualización. Los atacantes usaron la propia infraestructura de gestión para ejecutar scripts de PowerShell en los dispositivos finales. Se recomienda actualizar a la versión 7.4.7 o superior para mitigar este riesgo.

El grupo de ransomware The Gentlemen, que surgió a mediados de 2025, se ha convertido rápidamente en una de las operaciones de Ransomware-as-a-Service (RaaS) más activas del mundo. Solo en los primeros cinco meses de 2026, han publicado aproximadamente 332 víctimas, destacando su capacidad para comprometer dispositivos de borde de Fortinet y Cisco para obtener acceso inicial.

Fortinet lanzó actualizaciones de seguridad para corregir dos vulnerabilidades críticas en FortiSandbox y FortiAuthenticator que permitirían la ejecución de código remoto no autorizado. Aunque no se han reportado ataques activos para estas fallas específicas, la empresa insta a actualizar los sistemas debido al historial de explotación de sus productos en ataques de ransomware y ciberespionaje.

Fortinet ha revelado dos vulnerabilidades críticas de seguridad que afectan a su plataforma FortiSandbox, ambas con una puntuación CVSSv3 de 9.1. Las fallas, publicadas el 14 de abril de 2026, podrían permitir a atacantes remotos no autenticados ejecutar comandos arbitrarios y eludir por completo la autenticación, lo que representa un riesgo grave para los entornos empresariales que dependen de FortiSandbox para la detección avanzada de amenazas. 

CISA añadió la vulnerabilidad crítica CVE-2026-35616 (CVSS 9.1) en FortiClient EMS (versiones 7.4.5 y 7.4.6) a su catálogo KEV, permitiendo ejecución remota de código (RCE) sin autenticación mediante elusión de la API, con explotación activa confirmada desde el 31 de marzo de 2026 y más de 2.000 instancias expuestas globalmente.

Fortinet ha emitido un parche de emergencia después de que investigadores de seguridad revelaran una vulnerabilidad crítica de día cero en FortiClient EMS que ya está siendo explotada activamente por actores maliciosos. Identificada como CVE-2026-35616 y con una puntuación CVSSv3 de 9.1 (Crítica), la falla permite a atacantes no autenticados eludir por completo los controles de autenticación y autorización de la API, lo que les posibilita ejecutar código arbitrario

Se detectó explotación activa de la vulnerabilidad crítica CVE-2026-21643 en Fortinet FortiClient EMS, una inyección SQL que permite ataques sin autenticación y ejecución de código; se recomienda actualizar a versión 7.4.5 o superior y restringir el acceso al GUI web.

Una vulnerabilidad crítica de inyección SQL (CVE-2026-21643) en Fortinet FortiClient EMS 7.4.4 está siendo explotada activamente por ciberdelincuentes, permitiendo ejecución remota de código sin autenticación mediante solicitudes HTTP maliciosas. Afecta a implementaciones multiusuario y expone datos sensibles como credenciales y políticas de seguridad. Aunque fue parcheada en la versión 7.4.5, más de 2.000 instancias siguen expuestas en internet, con pruebas de concepto públicas disponibles.

Una vulnerabilidad crítica de inyección SQL en el servidor de gestión de endpoints FortiClient EMS de Fortinet, identificada como CVE-2026-21643, está siendo explotada activamente. Actores maliciosos han estado aprovechando esta falla en ataques iniciados hace cuatro días, a pesar de que aún no aparece en el catálogo de Vulnerabilidades Explotadas Conocidas de la CISA. La falla de seguridad afecta a la versión 7.4.4 de FortiClient EMS, 

Una vulnerabilidad crítica de inyección SQL en el FortiClient Endpoint Management Server (EMS) de Fortinet, identificada como CVE-2026-21643, presenta una puntuación CVSS de 9.1. Este fallo grave permite a atacantes no autenticados ejecutar comandos SQL arbitrarios y acceder a información sensible de la base de datos. El problema afecta específicamente a la versión 7.4.4 de FortiClient EMS cuando el modo multitenant está activo. 

Fortinet ha revelado una vulnerabilidad de desbordamiento de búfer basado en pila de alta gravedad en su plataforma FortiManager que podría permitir a atacantes remotos no autenticados ejecutar comandos no autorizados. Identificada como CVE-2025-54820 y con una puntuación CVSSv3 de 7.0, la falla representa un riesgo significativo para entornos de gestión de redes empresariales que utilicen versiones afectadas de FortiManager.

Fortinet publicó un amplio aviso de seguridad el 10 de marzo de 2026, abordando once vulnerabilidades en sus productos empresariales principales, incluyendo FortiManager, FortiAnalyzer, FortiSwitchAXFixed y FortiSandbox. Los fallos van desde bypass de autenticación y desbordamientos de búfer hasta inyección de comandos del sistema operativo e inyección SQL, varios de los cuales podrían permitir a atacantes remotos ejecutar comandos arbitrarios o escalar privilegios.

Investigadores de Team Cymru vinculan la herramienta de IA CyberStrikeAI (plataforma de pruebas de seguridad en Go con modelos como GPT, Claude y DeepSeek) con ataques automatizados a Fortinet FortiGate, detectados en servidores en China, Singapur y Hong Kong. La herramienta, usada por actores con presuntos lazos al gobierno chino, integra 100+ herramientas de hacking y reduce la barrera técnica para ciberataques, acelerando la explotación de dispositivos perimetrales.

Fortinet ha revelado una vulnerabilidad de cross-site scripting (XSS) de alta gravedad en su plataforma FortiSandbox, identificada como CVE-2025-52436 (FG-IR-25-093), que permite a atacantes no autenticados ejecutar comandos arbitrarios en sistemas afectados. Denominada como un problema de "Neutralización Impropia de Entrada Durante la Generación de Páginas Web" (CWE-79), la falla reside en el componente de la interfaz gráfica de usuario (GUI)