Una campaña global de ataque de fuerza bruta que aprovecha 2,8 millones de direcciones IP apunta activamente a dispositivos de seguridad perimetrales, incluidas VPN, firewalls y puertas de enlace de proveedores como Palo Alto Networks, Ivanti y SonicWall. El ataque, detectado por primera vez en enero de 2025, ha sido confirmado por The Shadowserver Foundation, una organización de ciberseguridad sin fines de lucro. El ataque, detectado por primera vez en enero de 2025, se ha intensificado en las últimas semanas, y los actores de amenazas intentaron violar las credenciales de inicio de sesión en la infraestructura de red expuesta.
Descripción general del ataque
Los ataques de fuerza bruta implican intentos repetidos de adivinar nombres de usuario y contraseñas hasta que se descubren credenciales válidas. Una vez comprometidos, los dispositivos pueden ser secuestrados para acceso no autorizado a la red, robo de datos o integración en botnets.
Según la firma de inteligencia sobre amenazas Shadowserver Foundation, esta campaña emplea 2,8 millones de IP únicas diariamente, de las cuales más de 1,1 millones provienen de Brasil, seguido de Turquía, Rusia, Argentina, Marruecos y México.
Las IP atacantes se distribuyen a través de redes proxy residenciales y dispositivos comprometidos, incluidos enrutadores MikroTik, Huawei y Cisco, probablemente orquestados por una gran botnet.
Los ataques se centran en dispositivos periféricos críticos para el acceso remoto, como:
Puertas de enlace VPN (Palo Alto Networks GlobalProtect, SonicWall NetExtender)
Cortafuegos (Ivanti, Fortinet)
Enrutadores y dispositivos IoT.
Estos dispositivos suelen tener acceso a Internet, lo que los convierte en objetivos principales. Los sistemas comprometidos corren el riesgo de convertirse en nodos proxy para futuros ataques, lo que permite a los actores de amenazas enmascarar el tráfico malicioso como actividad legítima del usuario.
El director ejecutivo de Shadowserver, Piotr Kijewski, confirmó que los ataques implican intentos de inicio de sesión reales, no simples escaneos, lo que aumenta la probabilidad de robo de credenciales.
Esta campaña sigue un patrón de actividad cada vez mayor de fuerza bruta. En abril de 2024, Cisco informó sobre ataques similares dirigidos a VPN de Check Point, Fortinet y Ubiquiti, a menudo dirigidos a través de nodos de salida TOR y servicios proxy.
Las vulnerabilidades recientes en Ivanti (CVE-2024-8190) y SonicWall (CVE-2025-23006) resaltan aún más los riesgos, ya que los dispositivos sin parches son susceptibles de explotación.
En respuesta a las crecientes amenazas, las agencias de ciberseguridad Five Eyes (CISA, NCSC, etc.) emitieron una guía instando a los fabricantes a mejorar el registro y la seguridad predeterminada para los dispositivos perimetrales.
Su aviso enfatiza la eliminación de las contraseñas predeterminadas y garantizar que el firmware admita la detección de amenazas en tiempo real.
A medida que los ataques de fuerza bruta crecen en escala y sofisticación, las organizaciones deben priorizar la protección de los dispositivos de borde, que a menudo son la primera línea de defensa.
Con 2,8 millones de IP utilizadas como armas diariamente, la campaña destaca la necesidad urgente de MFA, una gestión rigurosa de parches y una segmentación de la red. Shadowserver advierte que es probable que los ataques persistan y se dirijan a proveedores y regiones adicionales.
