Hace poco, investigadores de seguridad detectaron una falla de sentido común con consecuencias reales: aplicaciones web diseñadas para entrenamiento y pruebas —como DVWA, OWASP Juice Shop, Hackazon o bWAPP— estaban accesibles desde Internet en cuentas de nube con privilegios elevados, y los atacantes no tardaron en aprovecharlo. Lo que en muchos equipos se usa para enseñar técnicas de hacking o validar controles quedó expuesto como una puerta trasera hacia entornos productivos en proveedores como AWS, Google Cloud y Azure.
El hallazgo, documentado por los laboratorios de Pentera y recogido por medios especializados, revela que había cientos y cientos de instancias vivas de estas aplicaciones deliberadamente vulnerables publicadas en la red pública. De acuerdo con los datos de la investigación, se localizaron cerca de 1.926 aplicaciones de prueba expuestas, y una proporción significante de ellas anunciaba credenciales de nube o iba acompañada de roles con privilegios excesivos, rompiendo la regla básica del «menor privilegio». Puedes revisar el trabajo de los investigadores en la página de los laboratorios de Pentera: Pentera Labs, y el seguimiento periodístico en BleepingComputer.
Esto no es teoría: los analistas encontraron pruebas de explotación activa. En múltiples instancias comprobaron artefactos maliciosos —desde mineros de criptomonedas hasta webshells— que demostraban un compromiso real. En el conjunto de instancias DVWA analizadas, por ejemplo, aproximadamente el 20% contenía rastros de actividad maliciosa. Los atacantes usaron herramientas como XMRig para minar Monero, y desplegaron mecanismos para mantenerse en las máquinas afectadas, entre ellos un script de persistencia que se restauraba a sí mismo y descargaba el minero desde repositorios públicos. El proyecto XMRig está documentado públicamente en su repositorio: XMRig en GitHub.
Además del minado, los incidentes documentados incluían la instalación de un webshell PHP denominado filemanager.php que permitía leer, escribir, borrar, descargar y ejecutar comandos en el sistema. El código del webshell guardaba credenciales embebidas y, curiosamente, tenía la zona horaria ajustada a Europe/Minsk, un detalle que los investigadores señalaron como posible pista sobre la procedencia de los operadores.
¿Cómo se llegó a esto? En muchos casos las aplicaciones de pruebas se implementaron en cuentas de nube asociadas a roles con permisos amplios, sin aplicar el principio de menor privilegio, y mantuvieron credenciales por defecto o sin rotación. Es decir, se combinaron tres errores clásicos: exponer un entorno de pruebas a Internet, no restringir el acceso en la nube y no gestionar credenciales correctamente. Las credenciales encontradas por los investigadores podrían haber permitido a un atacante leer y escribir en almacenes de objetos como S3, GCS o Azure Blob, acceder a secretos gestionados, interactuar con registros de contenedores o incluso escalar a administradores de la cuenta.
Las empresas afectadas identificadas en el estudio incluyen nombres reconocidos entre Fortune 500 y proveedores de seguridad, que fueron notificados y procedieron a remediar las incidencias tras el aviso. El episodio subraya que incluso organizaciones con buena práctica en muchos frentes pueden tropezar en el manejo de entornos no productivos.
La lección práctica es sencilla y urgente: los entornos de prueba deben tratarse con al menos el mismo cuidado que los sistemas en producción. Eso pasa por mantener un inventario completo de recursos en la nube —incluyendo laboratorios, demos y máquinas de formación— y por aislarlos de los entornos críticos. También es imprescindible aplicar roles con privilegios mínimos, cambiar cualquier credencial por defecto y configurar caducidades automáticas para recursos temporales. Los proveedores de nube mantienen guías detalladas sobre buenas prácticas de gestión de identidades y accesos que conviene seguir, como la documentación de IAM de AWS: Buenas prácticas de IAM (AWS), la guía de IAM de Google Cloud: IAM (Google Cloud) y los recursos de control de acceso en Azure: Azure Active Directory.
En términos de detección y respuesta, conviene monitorizar patrones típicos de abuso: uso inusual de CPU y red (que puede delatar minería), descargas desde lugares no habituales (por ejemplo, repositorios públicos o servicios de almacenamiento en la nube), creación de procesos persistentes y presencia de archivos o scripts con contenido codificado en base64. También es recomendable auditar el acceso a gestores de secretos y a depósitos de imágenes de contenedores, y revisar logs de configuración y despliegue para detectar instancias que no deberían estar públicas.
Si tu equipo mantiene entornos para pruebas o formación, revisar las plantillas y procesos de despliegue es una prioridad. Herramientas y proyectos destinados a enseñar seguridad como DVWA, OWASP Juice Shop o bWAPP son recursos valiosos, pero su uso en entornos conectados a cuentas de alto privilegio sin controles adecuados convierte una herramienta didáctica en un riesgo casi garantizado.
La historia también deja una advertencia mayor: la seguridad no es solo tecnología, es disciplina operativa. Mantener un inventario, aplicar políticas de menor privilegio, rotar credenciales, automatizar caducidades y segmentar redes y cuentas son controles básicos que, cuando fallan, tienen consecuencias tangibles. Para profundizar en la naturaleza de estas amenazas y en la investigación detrás del hallazgo, puedes leer los materiales públicos de los investigadores y seguir la cobertura especializada en medios tecnológicos de confianza.
Al final, la moraleja es clara: no subestimes lo que una aplicación «de laboratorio» puede hacer cuando se combina con una cuenta de nube con permisos excesivos. Lo que empieza como un entorno de pruebas puede terminar siendo la vía de entrada para cripto-minado, persistencia maliciosa o, peor, el salto hacia activos sensibles de la organización.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...