Los entornos intencionadamente inseguros —esas aplicaciones diseñadas para enseñar hacking y pruebas de penetración— han sido durante años una herramienta valiosa para aprender, hacer demos y probar controles de seguridad. Proyectos conocidos como OWASP Juice Shop, DVWA, bWAPP o entornos comerciales de laboratorio ofrecen escenarios donde los errores y malas prácticas se pueden estudiar sin riesgos… siempre que se mantengan confinados.
El problema surge cuando esos laboratorios dejan de estar confinados. Investigación reciente de Pentera Labs detectó un patrón preocupante: instancias creadas para formación o demostración que acaban expuestas a Internet, ejecutándose dentro de cuentas en la nube activas y, lo que es más grave, enlazadas a identidades y roles con permisos excesivos. Esa combinación convierte lo que debía ser un entorno educativo en una puerta de entrada real al entorno productivo.
Los hallazgos son contundentes: Pentera identificó casi dos mil instancias públicas de aplicaciones de entrenamiento y comprobó que una parte importante de ellas corría sobre infraestructuras gestionadas por los propios clientes en los grandes proveedores de nube —AWS, Azure y Google Cloud—. Además, en una fracción significativa de casos los equipos encontraron evidencia de actividad maliciosa previa, desde minado de criptomonedas hasta webshells y mecanismos de persistencia.
La lógica del ataque no necesita sofisticación extrema. Con credenciales por defecto, configuraciones abiertas o vulnerabilidades conocidas, un atacante puede tomar control de la aplicación de entrenamiento y, si esa aplicación está enlazada a roles o identidades con privilegios, pivotar y acceder a otros recursos en la misma cuenta de nube. Eso transforma un “sandbox” en un escalón hacia compromisos de mayor alcance.
Esta problemática no es anecdótica ni limitada a pequeñas organizaciones. Pentera observó el patrón en entornos ligados a grandes empresas y proveedores de seguridad, lo que pone de manifiesto que el riesgo afecta tanto a organizaciones con madurez como a aquellas en proceso de mejorarla. Etiquetar un recurso como “de práctica” o “temporal” no lo vuelve invisible para los atacantes ni lo exime de riesgos operativos si queda expuesto.
¿Por qué ocurre? En muchos equipos de TI y seguridad, los entornos de enseñanza se consideran de bajo valor y quedan fuera de revisiones regulares, inventarios y sistemas de monitorización. Se crean rápidamente para un curso o demo, se usan, y a veces permanecen activos durante meses sin quien cuestione su configuración, las credenciales asociadas o el alcance de sus accesos. Con el tiempo, el olvido puede convertirse en explotación.
Mitigar este tipo de riesgo exige medidas sencillas pero firmes. Primero, mantener esos entornos aislados: redes privadas, VPCs separadas o cuentas/proyectos independientes para sandbox. Segundo, aplicar el principio de menor privilegio en las identidades y roles vinculados a laboratorios y demos. Tercero, automatizar el inventario y la monitorización para detectar recursos expuestos públicamente o imágenes con configuraciones por defecto. Y cuarto, adoptar prácticas de “lifecycle”: mantener rutinas de creación y destrucción automáticas para que los entornos sólo existan el tiempo necesario.
Las grandes nubes ofrecen guías y herramientas para estas prácticas: Amazon publica recomendaciones de arquitectura y seguridad para entornos en la nube en su centro de buenas prácticas (AWS Security), Microsoft mantiene extensa documentación sobre la seguridad en Azure (Azure Security) y Google Cloud publica sus controles y recomendaciones (Google Cloud Security). También es útil apoyarse en estándares y recursos comunitarios como el OWASP Top Ten para entender vectores de ataque comunes en aplicaciones web.
Además de las configuraciones y permisos, conviene vigilar la superficie pública con herramientas y servicios de detección de activos expuestos. Plataformas de búsqueda de dispositivos y servicios conectados, como Shodan, y servicios nativos de inventario de la nube ayudan a identificar rápidamente instancias abiertas que deberían permanecer cerradas. La telemetría, los logs y alertas centralizados son vitales para detectar actividad sospechosa, desde patrones de CPU indicativos de minería de criptomonedas hasta conexiones inusuales a metadatos de la nube.
Para equipos que imparten formación, hay alternativas seguras: usar entornos temporales que se provisionan y destruyen automáticamente, plataformas de laboratorio gestionadas que ofrezcan aislamiento de red por defecto o desplegar ejercicio y escenarios en cuentas completamente segregadas sin credenciales compartidas con entornos productivos. Implementar autenticación fuerte y no reutilizar credenciales conocidas por defecto es una práctica básica que evita muchos incidentes.
La lección es clara: la etiqueta de “entrenamiento” no reduce el riesgo técnico. Cuando una aplicación vulnerable queda accesible desde Internet y está conectada a identidades con capacidad de interactuar con el resto de la infraestructura, pasa a formar parte del perímetro expuesto de la organización. Proteger ese perímetro exige integrar los entornos de laboratorio en las mismas políticas y controles que el resto de los activos.
Si quieres profundizar en la metodología y los hallazgos concretos, la investigación completa de Pentera está disponible en su blog y además ofrecen un seminario web donde explican el proceso de descubrimiento y evidencias observadas: informe de Pentera Labs y webinar relacionado. Para quienes gestionan nubes, consultar las guías oficiales de los proveedores y alinearse con prácticas de seguridad reconocidas es un buen punto de partida para que un laboratorio siga siendo instrumento de aprendizaje y no una vía de ataque.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...