Dos comunes y una empresa habrían sido los afectados en un ataque vinculado a dispositivos Fortinet
Se habrían podido extraer configuraciones internas y credenciales de VPN
Una investigación publicada en redes sociales por el perfil especializado,Drets Digitals, apunta a que al menos dos comunes andorranos y una empresa del país habrían sido afectados por una campaña de ciberataques relacionada con dispositivos de seguridad de Fortinet.
Amb tècniques com les descrites és com van vulnerar la seguretat d'un dels comuns d'Andorra, del nord-est del país. Ho sabem gairebé segur gràcies a l'eina FortiBleed Check de l'empresa de seguretat SOCRadar. Al comú li van robar les dades de VPNs i credencials
— Drets digitals (@dretsdigitals) June 21, 2026
Según el análisis difundido, el caso estaría vinculado a la explotación de dispositivos FortiGate expuestos a internet con contraseñas débiles o credenciales reutilizadas, lo que habría permitido a los atacantes acceder a paneles de administración de estos sistemas.
Posible filtración de credenciales y accesos VPN
A partir de ese acceso inicial, los atacantes habrían podido extraer configuraciones internas y obtener información sensible, como credenciales asociadas a conexiones VPN de usuarios. Esto habría facilitado movimientos dentro de las redes afectadas con menor riesgo de detección.
El mismo informe señala que al menos dos comunes de Andorra habrían sido identificados como posibles víctimas, con distintos niveles de exposición: en un caso se habrían comprometido credenciales de usuarios y accesos VPN, mientras que en el otro la afectación se limitaría a configuraciones de acceso remoto.
También se menciona el caso de una empresa de la capital dedicada al asesoramiento fiscal, que habría sufrido una exposición similar de conexiones VPN.
Hasta diez IP en Andorra bajo posible exposición
El análisis se basa en datos cruzados entre la herramienta FortiBleed Check de la empresa de ciberseguridad SOCRadar y una lista pública de direcciones IP filtradas atribuidas a posibles víctimas de este tipo de ataques.
Según esta información, existirían hasta diez direcciones IP relacionadas con dispositivos en Andorra que no aparecen en búsquedas por dominio, lo que podría indicar una afectación más amplia de la detectada inicialmente.
En cualquier caso, los expertos subrayan que la presencia de una IP en estas listas no implica necesariamente una intrusión confirmada, sino posibles sistemas expuestos o con credenciales vulnerables.
Los especialistas recuerdan que este tipo de ataques suele combinar distintas técnicas, como la explotación de paneles de administración expuestos y el uso de credenciales filtradas en incidentes previos.
Esto dificulta la detección de la actividad maliciosa una vez que los atacantes han conseguido acceso a la red, lo que incrementa el riesgo de movimientos internos sin ser detectados.