Una oleada de ataques de autenticación de fuerza bruta se dirigieron a dispositivos de red durante el primer trimestre de 2026, y la gran mayoría de la actividad de amenazas provino de Medio Oriente. según un informe publicado el martes por Barracuda.
Según los investigadores de Barracuda, casi el 90% de los ataques de fuerza bruta se originaron en varias ubicaciones de Medio Oriente, y los principales objetivos fueron los dispositivos SonicWall y Fortinet FortiGate. Estos ataques representaron más de la mitad de toda la actividad de amenazas rastreada por Barracuda entre febrero y marzo.
«Estos ataques se identificaron en función de la ubicación geográfica de las IP involucradas, casi todas originadas en Medio Oriente», Anthony Fusco, gerente de analistas de ciberseguridad en Barracuda, dijo Cybersecurity Dive.
Fusco señaló que las direcciones IP por sí solas no se consideran un indicador confiable, pero dijo que era “seguro asumir” que estaba involucrada una combinación de grupos profesionales y vinculados al estado. Probablemente también estuvieron involucrados ataques de grupos oportunistas.
Los piratas informáticos han estado escaneando agresivamente los dispositivos perimetrales en busca de credenciales débiles o expuestas, según la publicación del blog.
El aumento de la actividad de fuerza bruta coincidió con un aumento de los ataques por parte de grupos del nexo con Irán después de que Estados Unidos e Israel lanzaran una campaña de bombardeos a finales de febrero. Las autoridades estadounidenses, incluido el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad, advirtieron la semana pasada que los piratas informáticos vinculados a Irán han sitios específicos de agua, energía y otras infraestructuras críticas en los estados unidos
Los investigadores de Barracuda no pudieron vincular explícitamente el aumento de la actividad amenazante con la guerra, pero la línea de tiempo se superpone con el aumento de la tensión en la región.
Según Barracuda, los equipos de seguridad deberían imponer el uso de autenticación multifactor en firewalls y VPN y utilizar contraseñas complejas. Además, las organizaciones deben monitorear los intentos repetidos y fallidos de inicio de sesión.
Según los investigadores, la atención puesta en SonicWall y Fortinet no es inesperada. Estos dispositivos se consideran “objetivos de alto valor para el acceso inicial”, ya que se encuentran en el borde del acceso remoto.
Los clientes de SonicWall a finales del verano de 2025 se vieron afectados por una ola de ataques de fuerza bruta contra el Servicio de copia de seguridad en la nube MySonicWall. Esos ataques estaban vinculados a un actor de amenazas patrocinado por el estado.
Los dispositivos FortiGate han sido atacados en los últimos meses por piratas informáticos que utilizan inicios de sesión maliciosos de inicio de sesión único. según investigadores de Arctic Wolf.
Fuente