A escondidas de todo webmaster hay una enorme red de robots dispuestos para acosar el trabajo diario, una nefasta red de bots que buscan vulnerabilidades, ya les he contado mucho al respecto.
Anoche doy de alta un subdominio, al minuto de darle de alta el certificado de seguridad de Let's Encrypt apareció el primer bot desde un proveedor francés, no había publicado el subdominio en ningún lado, sólo generé el certificado de seguridad y automáticamente estaba escaneando si había algún dashboard, algún gateway de pagos, algo que infectar.
Y este es uno de los tantos ejemplos, Internet es hoy un lugar extremadamente inseguro para tener un sitio web y no saber del tema.
Hace unas semanas había detectado una enorme cantidad de ataques de inyecciones SQL, los mismos, repetidos, reiterados, cansinos, ya estaba podrido así que decidí analizar un poco más el tema.
Todas las entradas de variables en este blog están sanitizadas, ya sufrí algunos revientes en el pasado, así que un día me puse a corregir todo eso página por página, no son tantas y, por suerte, la abstracción de MySQL tiene un "escape" para tomar esos strings engañosos y limpiarlos.
Pero he aquí que un imbécil se puso a hacer pentesting a lo pavote y no le gustó para nada que yo le baneara los IPs que estaba usando para el ataque, así que parece que fue paseándose de servicio en servicio hasta que dio con uno que utiliza los IPs de máquinas bobas de latinoamérica.
Así como se los comenté en la nota sobre MagisTV, la mayoría de esos servicios no son "gratis" sino que con la aplicación que usás para ver contenido reutilizan tu computadora para atacar sitios como el mío, bah, más importantes que el mío, pero A VECES pequeños como éste.
De hecho, el ataque empezó justamente luego de esa nota, así que noto cierta coincidencia 😁, pero más allá de la "casualidad", lo interesante es que se cumplió exactamente lo que decía: la mayoría de los IP atacantes no provienen de grandes proveedores, hostings o países del culo del mundo, son IPs de mis propios lectores.
No es que justo sea la tuya que estás usando para leerme ahora, pero como los IP se van rotando es posible que, si baneo permanentemente esos IP, algún día vos no puedas entrar al blog.
Por suerte no soy tan tarado y tengo medio dedo de frente, así que armé una simple función para detectar esas inyecciones de SQL y baneo las IP por 12 horas, algo manejable.
Si llegás a ver esta página es porque tu IP fue usado para atacar el blog.
Interesante el hecho de que el atacante esté usando IPs latinas, no se si es lo que queda disponible de mi filtro por Cloudflare (países de mierda, proveedores enteros por ASN) o si efectivamente seleccionó una subred de botnet latina y es uno de ustedes probando cosas 😅
Ahora bien, no sólo hay inyecciones SQL, el spam de siempre fue dando lugar a otros métodos, el principal es el secuestro del server que sirve para atacara a terceros de forma masiva. Estos intentos de obtener el control del sitio muy probablemente buscan, de forma automatizada, hacerse con el control para transformarlo en una máquina boba sin que yo me de cuenta.
Si lo logran y tienen éxito es posible que pasen meses hasta que me entere sea porque mi ISP me baje el servidor o los recursos estén al tope de tanto abuso o hasta Google avise (sólo avisa de webs hackeadas y muy tarde).
El acoso es problemático, me sorpendió esto de que apenas firmo un certificado digital ya tengo un bot explorando, el tipo está viendo qué certificados se emiten y al toque manda un spider para analizar si tenés tal o cual sección, hay que admirar su persistencia.
Si lo piensan el "hardening" de una instalación se hace después de instalar, no inmediatamente, en ese tiempo preciado el atacante puede colarse en un sistema, insertar un usuario admin apócrifo y luego el webmaster "cierra" las puertas, pero con un polizón adentro.
Obviamente uno no espera esto y por eso puede ser presa fácil. No digo que sea imposible que me hackeen, de hecho, debe ser trivial de lo fácil, pero esto no es ni un ecommerce ni un sitio con información relevante, aunque, al parecer, playground para algunos que practican pen testing con este humilde blog. Así estamos.
Si te gustó esta nota podés...
04/03/2026 - 08:11:30
Nada que ver, pero son las 08:10 y figura que este post fue publicado a las 09:00. Está mal la hora del server?
Fabio leo el blog desde mi teléfono, entro al link y dice acceso denegado. por lo que puedo entender, poco conozco del tema, es que mi proveedor de internet está infectado? No tengo ip propia, calculo que todos los clientes salen bajo la misma ip. Esto puede " comprometer" mi seguridad?
