AWS informa que un ataque potenciado por IA comprometió más de 600 firewalls FortiGate.

Detalles del ataque del informe de incidentes de AWS

Los equipos de seguridad de AWS documentaron una campaña desde mediados de enero hasta mediados de febrero de 2026 en la que ciberdelincuentes de habla rusa comprometieron más de 600 firewalls FortiGate en 55 países. Los atacantes utilizaron herramientas comerciales de IA generativa para generar guías de ataque, scripts y notas operativas, permitiendo que un grupo con habilidades relativamente bajas ejecutara lo que normalmente requeriría más recursos.

Metodología del ataque

La campaña se centró en escanear interfaces de gestión de FortiGate expuestas en Internet público. Los atacantes luego intentaron credenciales comúnmente reutilizadas o débiles. Una vez dentro, extrajeron archivos de configuración que contenían:

• Credenciales de administrador y VPN
• Detalles de topología de red
• Reglas de firewall

Desde allí, se adentraron más en los entornos, apuntando a Active Directory, extrayendo credenciales y sondeando oportunidades de movimiento lateral. Los sistemas de respaldo, incluidos los servidores Veeam, también fueron objetivos.

Características de las herramientas de IA

AWS observó que las herramientas generadas por IA eran funcionales pero poco pulidas, con lógica de análisis simplista y comentarios redundantes que sugerían código generado por máquina. Las herramientas estaban integradas en todo el flujo de trabajo en lugar de usarse solo para scripts ocasionales. CJ Moses, CISO de Amazon, señaló: "El volumen y la variedad de herramientas personalizadas normalmente indicarían un equipo de desarrollo bien financiado. En cambio, un solo actor o un grupo muy pequeño generó todo este kit de herramientas mediante desarrollo asistido por IA."

Patrones de ataque y defensa

Los atacantes tendían a abandonar objetivos que ofrecían resistencia y pasar a otros más vulnerables, priorizando el volumen sobre la precisión. La actividad fue geográficamente oportunista en lugar de estar muy dirigida, con víctimas en Europa, Asia, África y América Latina. Algunas infracciones pueden haber permitido el acceso a proveedores de servicios gestionados o entornos compartidos más grandes, amplificando el riesgo posterior.

AWS enfatizó que la higiene de seguridad básica habría prevenido la mayoría de los compromisos:

• Mantener las interfaces de gestión fuera de Internet público
• Aplicar autenticación multifactor
• Evitar la reutilización de contraseñas

Estos hallazgos siguen advertencias recientes de Google sobre que los delincuentes están integrando cada vez más la IA generativa directamente en sus operaciones, incluido el uso de Gemini AI para reconocimiento, perfilado de objetivos, phishing y desarrollo de malware.