Cibercriminales aprovechan falla crítica en FortiClient para robar credenciales

Recientemente, se ha descubierto que cibercriminales están explotando una grave vulnerabilidad en el servidor de gestión de endpoints FortiClient (EMS) para distribuir malware que roba credenciales. Esta campaña, identificada por la empresa de ciberseguridad Arctic Wolf, utiliza la infraestructura de gestión de endpoints de forma engañosa para infectar dispositivos administrados.

Cómo funciona el ataque

La vulnerabilidad, conocida como CVE-2026-35616, permite a los atacantes eludir la autenticación de la API (un sistema que asegura que solo usuarios autorizados accedan a ciertas funciones) y escalar privilegios. Esto significa que pueden obtener acceso no autorizado a configuraciones de gestión, permitiéndoles ejecutar comandos maliciosos. El ataque se lleva a cabo de la siguiente manera:

• Los atacantes disfrazan el malware como una actualización legítima de Fortinet, ejecutándolo de manera silenciosa mediante PowerShell.
• Utilizan un ejecutable legítimo llamado "fortitray.exe" para lanzar un script que descarga y ejecuta el malware.
• El malware roba información sensible como contraseñas y datos de tarjetas de crédito desde navegadores populares.

A quién afecta

Este ataque afecta a las organizaciones que utilizan FortiClient EMS para gestionar sus dispositivos. La gravedad de la vulnerabilidad, con un puntaje de 9.1 en la escala CVSS (que mide la severidad de las vulnerabilidades), subraya la importancia de actualizar el software a la versión 7.4.7 o superior, donde se ha corregido este problema.

Qué significa esto para ti

Para los usuarios y empresas, esto resalta la necesidad de mantener los sistemas actualizados y ser cautelosos con las actualizaciones de software. Un compromiso exitoso podría permitir a los atacantes acceder a servicios en la nube y aplicaciones internas, lo que pone en riesgo información confidencial. La mejor defensa es asegurarse de que todos los dispositivos estén protegidos y actualizados regularmente.