Dos comuns i una empresa haurien estat afectades en un atac vinculat a dispositius Fortinet

Una investigació publicada a xarxes socials pel perfil especialitzat, Drets Digitals, apunta que almenys dos comuns andorrans i una empresa del país haurien estat afectats per una campanya d’atacs cibernètics relacionada amb dispositius de seguretat Fortinet.

🧵⬇️ He dedicat una estona a investigar la possible extensió de l'afectació de l'atac fortibleed a Andorra (2 comuns afectats!) i amb el vostre permís en faig un fil que potser interessa a @DretsPrivacitat @NotariMinana (dels primers seguidors d'aquest perfil que son andorrans) pic.twitter.com/mpRKK0yaiZ

— Drets digitals (@dretsdigitals) June 21, 2026

Segons el fil, el cas estaria vinculat a l’explotació de dispositius FortiGate exposats a internet amb contrasenyes febles o credencials reutilitzades, fet que hauria permès als atacants accedir inicialment a panells d’administració d’aquests sistemes de ciberseguretat.

L’origen d’una possible filtració de dades al país

A partir d’aquest accés, els atacants haurien pogut extreure configuracions internes i, en alguns casos, obtenir informació sensible com credencials associades a connexions VPN d’usuaris. Això hauria facilitat moviments posteriors dins de les xarxes afectades amb més dificultat de detecció.

El mateix fil indica que almenys dos comuns d’Andorra haurien estat identificats com a possibles víctimes, amb diferències en el nivell d’exposició: en un cas s’hauria compromès tant informació de VPN com credencials d’usuaris, mentre que en l’altre l’afectació es limitaria, segons aquesta anàlisi, a accessos VPN. 

També s’hi afegeix el cas d’una empresa de la capital dedicada a l’assessorament fiscal, que hauria patit una exposició similar de connexions VPN.

Deu IPs a Andorra podrien estar relacionades amb dispositius vulnerables

El relat es basa en dades creuades entre l’eina FortiBleed Check de l’empresa de ciberseguretat SOCRadar i una llista pública d’adreces IP filtrades atribuïdes a víctimes d’aquest tipus d’explotacions. Segons aquesta anàlisi, hi hauria fins a deu IPs relacionades amb dispositius a Andorra que no apareixen en cerques per domini, fet que podria indicar una afectació més àmplia de la inicialment detectada.

En qualsevol cas, s’adverteix que la presència d’una IP en aquestes llistes no implica necessàriament una intrusió confirmada, sinó l’existència de dispositius potencialment exposats o amb credencials vulnerables. Tampoc consta públicament, de moment, l’abast complet de possibles accessos efectius a dades o sistemes interns.

Els especialistes recorden que aquest tipus d’atacs solen combinar múltiples tècniques, com l’explotació de panells d’administració exposats i l’ús de credencials filtrades en incidents previs, fet que dificulta la detecció de l’activitat maliciosa un cop dins de la xarxa.