En un movimiento inusual y rápido, Fortinet ha desactivado temporalmente el inicio de sesión único (SSO) de FortiCloud tras la detección de un fallo de seguridad de día cero, el cual está siendo activamente explotado. La vulnerabilidad, designada como FG-IR-26-060 y registrada bajo el código CVE-2026-24858, permite que un atacante con una cuenta de FortiCloud acceda a dispositivos asociados a cuentas diferentes cuando el SSO de FortiCloud está habilitado.
Este incidente resalta una preocupación creciente dentro de los equipos de seguridad: la utilidad y comodidad que brindan las soluciones en la nube y el SSO pueden, en ciertas circunstancias, convertirse en riesgos de seguridad graves, facilitando un control no autorizado sobre infraestructuras críticas. La vulnerabilidad se categoriza como omisión de autenticación por ruta alternativa (CWE-288), un tipo bien conocido, pero alarmante cuando trata con accesos administrativos.
Este nuevo problema no se considera un incidente aislado, sino parte de un patrón más amplio. Fortinet ha señalado que, a diferencia de problemas anteriores relacionados con el bypass de SSO identificados en diciembre de 2025, esta vez se reportaron casos de acceso no autorizado incluso en dispositivos que estaban actualizados, sugiriendo una nueva metodología de explotación.
Inicialmente, hubo preocupación por un potencial impacto en implementaciones de SAML, sin embargo, Fortinet aclaró que el problema es específico de FortiCloud SSO y no afecta a IdP SAML de terceros ni a FortiAuthenticator, limitando así el riesgo para entornos con identidad federada.
La respuesta de Fortinet fue rápida: entre el 22 y 23 de enero de 2026 se deshabilitaron las cuentas explotadas, y el 26 de enero se desactivó temporalmente el FortiCloud SSO para controlar el abuso. Al día siguiente, se reactivó el servicio, pero con restricciones para versiones vulnerables, incentivando a las organizaciones a actualizar sus sistemas.
Por otro lado, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) emitió una alerta sobre la explotación en curso, instando a las instituciones federales a aplicar las remediaciones necesarias antes del 30 de enero de 2026, destacando la urgencia de la situación.
Los sistemas afectados incluyen varias versiones de FortiOS, FortiManager, FortiAnalyzer, y FortiProxy, entre otros. Fortinet ha proporcionado directrices específicas de actualización para cada una de estas plataformas, subrayando la necesidad de actualizar no solo a las últimas versiones, sino también de considerar las ramificaciones específicas del software en uso.
El desafío ahora es asegurar que las entidades no solo parchen rápidamente, sino que también revisen las configuraciones y monitoreen sus sistemas para identificar cualquier acceso no autorizado. Las recomendaciones incluyen deshabilitar temporariamente el SSO de FortiCloud si no es indispensable, actualizar a las versiones corregidas, revisar las cuentas administrativas inesperadas, y restringir la administración de los sistemas, reforzando la seguridad perimetral.
Este evento deja una lección crucial para 2026: cuando se convierte al SSO en la nube en una experiencia altamente simplificada, se introduce un riesgo significativo. Un bypass en este contexto puede afectar la integridad de toda una organización y plantea la necesidad de construir operaciones resilientes que sigan funcionando, incluso cuando los sistemas de autenticación enfrentan problemas críticos.
