Durante meses nuestro sitio registró actividad de bots no destructivos: sondas de bajo nivel que provenían mayormente de clusters de automatización ubicados en Irlanda. Nada espectacular, solo persistencia silenciosa.
A primera hora del día el comportamiento cambió de forma notable y detectamos lo que claramente era una operación dirigida por un atacante real.
Fase de reconocimiento: a las 7:25 AM UTC-5 nuestro sistema geoEvents registró una visita a la raíz del sitio proveniente de Los Angeles. A diferencia de los accesos previos, esta petición tenía huella de comportamiento humano: user agent perfilado, cabeceras de navegador limpias, resolución de pantalla normal y tiempos de interacción coherentes. En otras palabras, una sonda planificada.
Disparo del ataque: a las 8:14:35 AM se realizó una petición dirigida al endpoint trampa analytics6x4Z72xq1.html, un archivo señuelo creado precisamente para este tipo de pruebas. Menos de un minuto después los logs de Cloudflare mostraron que el atacante había saltado la caché del CDN y tocó el origen directamente, un error por su parte.
Al golpear el origen activó nuestro logger personalizado firestoreMirror.js que capturó IP, marca temporal, user agent, referrer y etiquetó el evento como bypass de CDN además de añadir geolocalización. Todo el rastro quedó archivado como firma completa.
Pila tecnológica utilizada en la trampa: Firebase Firestore configurado como espejo para tracking en tiempo real, registros de DNS y CDN de Cloudflare, endpoints señuelo pseudolegítimos, geolocalización y fingerprint de pantalla, y lógica personalizada de honeynet para recopilación y correlación.
Lecciones aprendidas: el blindaje por CDN no siempre basta; las botnets suelen ser humo que los atacantes usan como niebla para ocultar acciones dirigidas; Firebase es una herramienta potente más allá de almacenamiento de datos de apps; y cuando se construyen sistemas públicos que exponen comportamientos maliciosos, esos sistemas serán probados.
En Q2BSTUDIO, empresa especializada en desarrollo de software y aplicaciones a medida, trabajamos integrando inteligencia artificial, soluciones de ciberseguridad y servicios cloud AWS y Azure para proteger infraestructuras y extraer inteligencia accionable. Ofrecemos servicios de software a medida, aplicaciones a medida, servicios inteligencia de negocio, ia para empresas, agentes IA y despliegues Power BI para visualización y reporting avanzado.
Si tu equipo diseña honeypots, trampas de amenazas o soluciones de analítica privacy first con herramientas abiertas como Firebase, comparte tu experiencia. En Q2BSTUDIO intercambiamos notas, colaboramos en hardening y diseñamos arquitecturas seguras que combinan IA, ciberseguridad y cloud.
Snapshot del registro de eventos de Cloudflare: capturado el 7 de agosto de 2025 a las 13:14:25 UTC, el firewall registró una acción managed_challenge detectando y desafiando la petición. Origen firewallManaged. ASN cliente CDN77. País Estados Unidos. Dirección IP 2a02:6ea0:c803:3091::12. User Agent curl/8.5.0. Ruta solicitada /analytics6x4Z72xq1.html. Rule ID 874a3e315c344b1281ad4f00046aab6f. Este evento coincide con el golpe al archivo señuelo que validó el intento de bypass al origen y quedó archivado como parte de los registros internos de la honeynet.
Para consultas sobre desarrollo de software a medida, inteligencia artificial aplicada, protección de infraestructura y servicios cloud AWS y Azure contacta a Q2BSTUDIO. Somos especialistas en aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi listos para potenciar tu proyecto.