Nueva vulnerabilidad crítica en FortiWeb expuesta a explotación activa (CVE-2025-64446)
Protección de datos y privacidad
Protección de infraestructura y sistemas
Seguridad frente a vulnerabilidades.

El ecosistema de ciberseguridad ha encendido las alarmas tras confirmarse que la vulnerabilidad CVE-2025-64446, que afecta a FortiWeb, está siendo explotada activamente por actores maliciosos. Tanto la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos como el Instituto Nacional de Ciberseguridad (INCIBE) en España han incluido este fallo en sus catálogos de vulnerabilidades explotadas, lo que eleva su criticidad y obliga a organizaciones públicas y privadas a actuar con urgencia.

Una vulnerabilidad crítica en un componente clave

FortiWeb es un Web Application Firewall (WAF) empleado ampliamente por empresas de múltiples sectores para proteger aplicaciones web frente a ataques como inyecciones, desbordamientos y accesos no autorizados. La vulnerabilidad CVE-2025-64446 compromete directamente esta capa defensiva.

El fallo se debe a un desbordamiento de búfer (buffer overflow) en uno de los módulos encargados del análisis del tráfico HTTP. Esta debilidad permite a un atacante remoto no autenticado ejecutar código arbitrario en el equipo afectado, lo que podría dar lugar a:

  • Toma de control del dispositivo.
  • Manipulación del tráfico web protegido por el WAF.
  • Interceptación o alteración de datos.
  • Acceso lateral a redes internas corporativas.
  • Inhabilitación del firewall, dejando expuestas aplicaciones críticas.

Tanto Fortinet como organismos de ciberseguridad han confirmado que existen pruebas de explotación activa en campañas reales.

Detalles técnicos de la vulnerabilidad

  • Identificador oficial: CVE-2025-64446
  • Producto afectado: FortiWeb (versiones específicas según aviso del fabricante)
  • Tipo de fallo: Buffer overflow con potencial de ejecución remota de código (RCE)
  • Vector de ataque: Remoto, sin autenticación
  • Impacto: Crítico – permite comprometer completamente el dispositivo
  • Condición de explotación: La vulnerabilidad puede ser explotada mediante paquetes especialmente manipulados enviados al servicio afectado

La explotación no requiere interacción del usuario y puede ser lanzada desde Internet si el dispositivo está expuesto, lo que aumenta significativamente la superficie de ataque.

Advertencias de CISA e INCIBE

Ambos organismos han clasificado este fallo como “explotado activamente”, una categoría reservada para vulnerabilidades que ya están siendo utilizadas por ciberdelincuentes, lo que convierte su mitigación en una prioridad inmediata.

INCIBE insta a las organizaciones españolas a parchear con urgencia, revisar configuraciones internas y auditar actividad sospechosa en los equipos FortiWeb.

Implicaciones para empresas y sectores críticos

La explotación de una vulnerabilidad en un WAF supone un riesgo excepcional, ya que se trata de una pieza clave construida precisamente para proteger aplicaciones frente a ataques externos. Si el propio dispositivo de defensa es vulnerado:

  • El atacante puede burlar completamente la seguridad de las aplicaciones web.
  • Se abren vías para ataques avanzados como inyección de código, manipulación de sesiones o exfiltración de datos.
  • Sectores como administración pública, banca, energía, salud o telecomunicaciones pueden convertirse en objetivos prioritarios.

El incidente recuerda que incluso las tecnologías de seguridad deben ser gestionadas y auditadas con la misma rigurosidad que el resto de la infraestructura.

Para evitar esto, se recomienda a las empresas y los administradores de sistemas las siguientes medidas de seguridad:

  1. Actualizar FortiWeb con urgencia: Instalar los parches proporcionados por Fortinet, que corrigen el desbordamiento de búfer afectado.
  2. Revisar la exposición de los dispositivos: Limitar acceso desde Internet, aplicar listas de control de acceso (ACL) y segmentar el dispositivo.
  3. Activar monitorización avanzada: Registrar actividad anómala: reinicios inesperados, cambios en configuración o tráfico irregular.
  4. Evaluar compromisos potenciales: Realizar auditorías forenses si se sospecha explotación.
  5. Reforzar el perímetro: Implementar medidas adicionales como IDS/IPS, segmentación de red o análisis de comportamiento.

Consejos para usuarios finales 

Aunque esta vulnerabilidad afecta a infraestructura empresarial, no a usuarios particulares, sus efectos sí pueden influir en los servicios digitales que la ciudadanía utiliza cada día: trámites online, portales de bancos, plataformas educativas, servicios sanitarios, tiendas en línea, etc. Para minimizar riesgos y saber cómo actuar, INCIBE recomienda a ciudadanos:

  1. Mantener buenas prácticas cuando se utilicen servicios web.
  2. Ser cautelosos ante actividades inusuales.
  3. Vigilar posibles intentos de fraude.
  4. Mantener dispositivos personales actualizados.
  5. Cambiar contraseñas ante sospecha.

 

Fuentes de información: 

Contenido relacionado

Protección de datos y privacidad
Protección de infraestructura y sistemas
Mano de una persona con caracteres de contraseña y símbolo de candado encima proyectado de manera holográfica.

Iberia denuncia haber sufrido un ciberataque y confirma la exposición de datos de clientes

Iberia ha detectado un acceso no autorizado a un repositorio de un proveedor externo que ha comprometido datos personales de clientes: nombres, correos y algunos teléfonos. El incidente ya ha sido notificado a la AEPD y a la UCO, y la compañía recomienda activar medidas de seguridad adicionales.

12:00 am
España, Madrid (sede Iberia).