
El equipo de Cattleya ha identificado una nueva amenaza en el panorama de la ciberseguridad: el grupo Belsen ha filtrado datos críticos de más de 15.000 dispositivos Fortinet tras explotar una vulnerabilidad de alta criticidad (CVE-2022-40684, CVSS 9.6).
Lo más alarmante de este incidente es que los atacantes comprometieron estos dispositivos desde 2022, antes de que la vulnerabilidad fuera parchada, y esperaron más de dos años para hacer pública la filtración en la Deep Web.
Línea de tiempo del incidente

Antes de octubre del 2022
No se tiene certeza sobre la fecha exacta en que el grupo Belsen descubrió y comenzó a explotar la vulnerabilidad en dispositivos Fortinet. Sin embargo, se ha confirmado que el compromiso de los dispositivos ocurrió antes de octubre de 2022 y que la cantidad de sistemas afectados superó los 15,000 en todo el mundo, afectando tanto a empresas del sector público como privado.
Octubre 10 del 2022
Fortinet lanzó oficialmente la corrección para la vulnerabilidad CVE-2022-40684, catalogada como crítica con un CVSS de 9.6.
🔗 Fuente: Fortiguard – FG-IR-22-377
14 de enero del 2025
Más de dos años después de la explotación inicial, el grupo Belsen apareció en un foro clandestino de la Deep Web, ofreciendo un archivo de 1.6 GB con información confidencial extraída de los dispositivos Fortinet comprometidos. El archivo contiene:
- Configuraciones de dispositivos.
- Credenciales de VPN y otros datos sensibles.

Dos días después, Belsen publicó un anuncio en X (Twitter) y lanzó un sitio en la red Tor para comercializar la filtración.

Seis días después de la filtración, el grupo Belsen anunció que cobrará $100 USD por la descarga del archivo con los datos comprometidos.

Así mismo al analizar el sitio web, se observa al momento de descargar la información exige un pago de 100 dólares.

28 enero 2025 , Belsen Group publica una muestra de 1000 nuevos dispositivos a un precio de 500 USD.


Información actual del actor identificado por el equipo de ciberinteligencia Cattleya:

Impacto
Como parte de las capacidades de monitoreo proactivo y alertamiento temprano de Cattleya, el equipo logro acceder y analizar los datos , en donde se pudo comprobar un total de 15474 IPs diferentes , para las cuales hay una carpeta con cada una que contiene , archivo de configuración del dispositivo, credenciales de los usuarios y además certificados digitales de cada dispositivo, los clientes de Cattleya que pudieran estar presentes o verse afectados fueron alertados de manera inmediata, sin embargo al revisar las configuraciones y credenciales por países se logra identificar datos relevantes de los dispositivos comprometidos como :
- 🇨🇴 Colombia: 372 dispositivos comprometidos.
- 🇲🇽 México: 1,382 dispositivos comprometidos.
- 🇨🇱 Chile: 8 dispositivos comprometidos.
- 🇵🇪 Perú: 104 dispositivos comprometidos.
- 🇦🇷 Argentina: 245 dispositivos comprometidos.
Estos números nos permiten dimensionar el alto impacto de la brecha en América Latina, afectando tanto a empresas privadas como a entidades gubernamentales.
En un ejercicio por parte del equipo de Cattleya se realizó el análisis inverso de un archivo de configuración al azar para determinar el alcance de Belsen Group o cualquier persona que tenga datos a esta fuga.
El análisis de los archivos filtrados revela que la información expuesta permite a cualquier actor malicioso:
- Acceder a configuraciones privadas de organizaciones.
- Obtener credenciales de usuarios VPN y datos de autenticación.
Identificar versiones de firmware, hostnames y configuraciones específicas. - Extraer correos electrónicos de administradores y permisos de acceso.
- Analizar reglas de firewall y perfiles de navegación.
- Descargar certificados digitales de los dispositivos afectados.

Dado que Belsen tuvo acceso a esta información desde 2022, las organizaciones afectadas deben considerar que:
- Los atacantes pudieron modificar configuraciones y crear cuentas de administración ocultas.
- Es posible que aún tengan persistencia en los sistemas comprometidos.
- El parche de Fortinet no mitiga el compromiso previo si los atacantes ya tenían acceso a la red interna.
Lecciones aprendidas y recomendaciones
Este incidente resalta la importancia de:
- Monitoreo proactivo: No solo en la superficie de ataque, sino también en foros clandestinos y filtraciones de datos como lo realiza el modulo de fugas de Cattleya.
- Los parches no garantizan seguridad total: Un sistema actualizado no implica que no haya sido comprometido en el pasado.
- Autenticación multifactor (MFA): Debe ser un estándar en cualquier entorno crítico.
- Auditoría de configuraciones: Revisar regularmente los dispositivos en busca de accesos no autorizados.

Si deseas verificar si tu empresa está en ésta u otras fugas, desde Cattleya tenemos un ≫Demo de 15 días para que explores las capacidades del producto.