← Volver a cápsulas
DevOps Seguridad CloudSecurity Linux SSH Backend

Audité un VPS y encontré un gusano que llevaba 6 días adentro

Publicado el 15 de julio de 2026

Audité un VPS y encontré un gusano que llevaba 6 días adentro

𝗔𝘂𝗱𝗶𝘁é 𝘂𝗻 𝗩𝗣𝗦 𝘆 𝗲𝗻𝗰𝗼𝗻𝘁𝗿é 𝘂𝗻 𝗴𝘂𝘀𝗮𝗻𝗼 𝗾𝘂𝗲 𝗹𝗹𝗲𝘃𝗮𝗯𝗮 𝟲 𝗱í𝗮𝘀 𝗮𝗱𝗲𝗻𝘁𝗿𝗼

145 horas de CPU. Un intruso operando en silencio. Y entró sin pedir contraseña. 😅

La tarea era simple: auditar un VPS antes de darlo de baja, revisar que no hubiera nada pendiente y apagarlo limpio para evitar cargos innecesarios. Nada del otro mundo. Pero al revisar los logs encontré algo que no esperaba: acceso SSH como root, autenticado con una llave pública que no debía estar ahí.

El gusano pertenecía a la botnet 𝗧𝗲𝗮𝗺𝗧𝗡𝗧, conocida por atacar infraestructura cloud. Su técnica no fue fuerza bruta — fue más elegante y más peligrosa 🔥: explotó servicios expuestos sin 𝗳𝗶𝗿𝗲𝘄𝗮𝗹𝗹, inyectó su propia 𝗹𝗹𝗮𝘃𝗲 𝗦𝗦𝗛 en `authorized_keys` borrando las anteriores, y entró limpiamente como si fuera el dueño. Una vez dentro instaló un 𝗺𝗶𝗻𝗲𝗿𝗼 𝗱𝗲 𝗠𝗼𝗻𝗲𝗿𝗼 y aseguró persistencia vía 𝗰𝗿𝗼𝗻𝘁𝗮𝗯. Sin ruido. Sin alertas.

El servidor llevaba días "sin uso aparente" — pero seguía trabajando. Para los atacantes. 💻

Lo que me llevé de esto:

🔒 𝗙𝗶𝗿𝗲𝘄𝗮𝗹𝗹 𝗮𝗻𝘁𝗲𝘀 𝗱𝗲 𝗲𝘅𝗽𝗼𝗻𝗲𝗿 𝗰𝘂𝗮𝗹𝗾𝘂𝗶𝗲𝗿 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼. Sin excepción.

🔑 𝗖𝗼𝗻𝘁𝗿𝗼𝗹𝗮 𝗾𝘂𝗶é𝗻 𝗽𝘂𝗲𝗱𝗲 𝗮𝘂𝘁𝗲𝗻𝘁𝗶𝗰𝗮𝗿𝘀𝗲: `authorized_keys` no es set-and-forget.

📋 𝗔𝘂𝗱𝗶𝘁𝗮 𝗮𝗻𝘁𝗲𝘀 𝗱𝗲 𝗮𝗽𝗮𝗴𝗮𝗿. Lo que parece "sin uso" puede estar muy activo.

¿Tienes servidores en pausa que nunca auditas? 👇

¡Sigan volando, Campeones! ✈️