Imaginá que vas a un edificio de oficinas muy exclusivo, le mostrás tu documento al guardia de seguridad y, solo porque el documento es legal y verdadero, el tipo te deja entrar a la oficina del CEO, a la bóveda y hasta a la sala de servidores... simplemente porque tu documento lo emitió el mismo Estado que el de ellos. Bueno, eso es exactamente lo que pasó con esta vulnerabilidad de Fortinet.
El análisis del desastre: CVE-2026-24858
Lo que ocurrió acá no es un error de código sofisticado; es un fallo de lógica que te deja sin palabras. Fortinet, una empresa que vive de venderte seguridad, se olvidó de los conceptos más básicos de la informática.
¿Qué fue lo que hizo Fortinet realmente?
Implementaron un sistema de Single Sign-On (SSO) a través de su nube (FortiCloud). La idea suena cómoda: usás una sola cuenta para gestionar todos tus dispositivos. El problema es que el sistema de autenticación de FortiOS y FortiManager resultó ser increíblemente ingenuo.
Cuando alguien intentaba ingresar a un equipo, el dispositivo le preguntaba a la nube: "¿Este usuario es quien dice ser?". La nube respondía que sí. Pero el dispositivo se olvidaba de preguntar lo más importante: "¿Y este usuario tiene permiso para entrar en mi red?".
Básicamente, cualquier persona con una cuenta de FortiCloud (que cualquiera puede crear gratis) podía presentarse ante un firewall ajeno y el equipo le abría la puerta de par en par. Confundieron "identidad" con "autorización", un error de primer año de facultad.
Por qué este bug es, sinceramente, inaceptable
Si sos un profesional de TI o el responsable de seguridad de una empresa, este bug te tiene que generar una molestia profunda por varias razones:
- Es un error de diseño, no un accidente: No estamos hablando de un "desbordamiento de memoria" que es difícil de detectar. Esto es una falla en cómo pensaron el sistema. Diseñaron una llave maestra global sin querer (o sin pensar).
- Rompe la confianza en la nube: Fortinet viene insistiendo mucho con que pases tu gestión a la nube. Pero con este fallo, demostraron que su infraestructura de nube puede ser el punto de entrada para que un atacante tome el control de miles de empresas en un solo movimiento.
- La reincidencia ya cansa: Lo que hace que esto sea inaceptable es el historial. Fortinet ya tuvo fallos similares en el pasado donde se podían saltar la autenticación con métodos absurdos. Que en 2026 sigamos viendo que un atacante puede entrar como administrador sin una contraseña válida es, cuanto menos, preocupante.
- El riesgo es total: No es que te roban un archivo; es que toman el control del firewall. Pueden ver tu tráfico, apagar tus defensas o usar tu red para atacar a otros. El "daño colateral" es inmenso.
En resumen
Si tenés equipos Fortinet, hacete un favor: desactivá el SSO de FortiCloud ahora mismo y volvé a la autenticación local con doble factor de verdad. En seguridad, la comodidad suele ser enemiga de la protección, y este caso es la prueba de fuego.