Me han intentado hackear el VPS

2026-05-13

#hacking

Estoy muy sorprendido, literalmente han intentado hacker mi VPS, el servidor que con tanto cariño cuido y securizo para no tener problemas de ningún tipo.

Os cuento cómo ha ido la cosa. A raiz de alguna sugerencia que me han hecho algunos empresarios de la zona creé esta web https://seguret.at/ para dar a conocer algunos servicios de formación en ciberseguridad para los cuales me siento capacitado, sobretodo para formación a pequeños autónomos y empresas de la zona que no cuentan con servicios adecuados de ciberseguridad, que tampoco pueden gastarse barbaridades pero que sí o sí necesitan algún tipo de formación para evitar problemas, hackeos, fugas de datos y demás. La cuestión es que cómo véis en esa web consta claramente una dirección de email y también mi número de teléfono, aunque ese número está ofuscado para que los buscadores no puedan rastrearlo.

- La cuestión es que el email sí que consta y fue rastreado por un atacante que parece que se dedica a recopilar emails para atacar, ya tenemos la primera parte del ataque, muy fácil, tienen un email al que atacar, lo que parece es que el atacante no se dió cuenta de que no es un simplemente un email, es un alias de email, lo cual les complica o en mi caso imposibilita el ataque.

- Segunda parte, ya tienen un email, ahora toca saber qué servidor atacar, eso puede verse fácilmente con una simple consulta, por ejemplo en browserleaks.com dando este resultado: https://browserleaks.com/ip/seguret.at En el que claramente podemos ver que seguret.at está en netcup GmbH, sí, el VPS está alojado por NETCUP.

- Tercera parte, el atacante me envia un email a esa dirección que consta en seguret.at para amenazarme, ¿con qué? Muy fácil, se hacen pasar de una forma muy tosca por NETCUP y me indican que debo hacer un pronto pago de un dominio, sólo unos 5.-Euros pero hay que pagarlo o pierdo el dominio. A todo esto el email me lo envían desde un email de gmail con un nombre ridículo inventado.

- Cuarta parte, en el email que me envían hay un link para que acceda a pagar, el problema es que ese link ya no tiene nada que ver con NETCUP, es un link a https://vodk.regiomontanus-verlag.de/netcup/login.html que aparentemente no tiene nada que ver con NETCUP y sorprendentemente buscando en VIRUSTOTAL me da este resultado: https://www.virustotal.com/gui/url/d9867994d751c9455a70819d130c57a090c4a1617e2e2407edb52c1686e118c1 Es decir, aparentemente está limpio, no detecta malware ni pishing, evidentemente el problema es que se trata de un ataque posiblemente dirigido únicamente a mi, han creado esa web para atacarme únicamente a mi, así que se podria decir que como en los primeros casos de ataque es equivalente a un zero day. No esperéis que Virustotal os informe feacientemente de todo y menos en ataques claramente dirigidos como este, es imposible. Si os da clara información es que posiblemente se trate de ataques masivos y ya hay mucha gente buscando información. VIRUSTOTAL no os va a ayudar si sois la única posible víctima de un ataque. Desde luego lo mejor es no acceder jamás a un link que os han enviado por email o sms, de verdad, nunca, es muy peligroso.

Resultado final. Menos mal que no accedí a ese link ni se me ocurrió ingresar las credenciales de mi VPS, si lo hubiera hecho el VPS ya no sería mio.

Os dejo este artículo, vale la pena, todos estamos sujetos a ataques de phising que bien podríamos considerar zero day y por lo tanto debemos tratar con confianza zero , andáos con mucho ojo:

https://www.rsa.com/es/resources/blog/zero-trust/it-takes-zero-trust-to-stop-phishing-attacks/

y otro artículo sobre los peligros si un atacante se hace con tu VPS:

https://www.bluehost.com/es-es/blog/seguridad-vps-mejores-practicas-para-proteger-su-servidor-virtual-en-2025/

This work by SL1200 is licensed under CC0 1.0 Universal

◄ BACK

🏠 Home