Cuando se aprovisiona un nuevo servidor — ya sea un VPS, una máquina dedicada o una instancia en la nube — viene configurado con valores predeterminados diseñados para la compatibilidad máxima, no para la seguridad. Esos valores son conocidos por todos los escáneres automatizados y herramientas de ataque disponibles hoy en día. Dejarlos intactos no es una decisión neutral: es una invitación abierta.
En Solvanta, una parte significativa de las auditorías de infraestructura que realizamos revela la misma clase de problemas, independientemente del proveedor o del equipo que configuró el servidor. Este artículo cubre los más comunes y por qué son importantes.
SSH en el puerto 22 con autenticación por contraseña
El puerto 22 es el primero que revisa cualquier escáner de fuerza bruta. A los pocos minutos de que un nuevo servidor quede en línea, los bots automatizados ya están intentando iniciar sesión usando diccionarios de contraseñas y nombres de usuario comunes. Si la autenticación por contraseña está habilitada, lo único que separa tu servidor de un compromiso exitoso es la calidad de esa contraseña — y la paciencia del atacante.
La configuración correcta es sencilla: deshabilitar la autenticación por contraseña por completo, imponer acceso únicamente mediante claves SSH, y mover SSH a un puerto no estándar. Agregar Fail2Ban o equivalente para bloquear intentos fallidos repetidos, y restringir el acceso SSH por IP cuando sea posible. Nada de esto es complejo — pero casi nunca es el valor predeterminado.
Puertos abiertos sin política de firewall
Una instalación nueva de Linux expone varios servicios que escuchan en puertos abiertos. Los servidores de bases de datos, los agentes de monitoreo y los runtimes de aplicaciones frecuentemente se vinculan a todas las interfaces por defecto. Sin una política de firewall explícita, cada uno de esos puertos es accesible desde internet.
Una postura correcta de firewall comienza con una regla de denegación por defecto y agrega reglas de permiso explícitas solo para los puertos y las IPs de origen que realmente necesitan acceso. ¿Nginx en el puerto 443? Permitido. ¿MySQL en el puerto 3306? Vinculado a localhost únicamente, o a una interfaz de red privada — nunca debe ser accesible desde internet.
Paquetes del sistema sin actualizar
Los sistemas operativos y el software de servidor reciben parches de seguridad continuamente. Un servidor que fue reforzado al momento del despliegue pero que nunca se actualizó se vuelve progresivamente más vulnerable con el tiempo. Las brechas más dañinas de los últimos años — incluyendo importantes campañas de ransomware — explotaron vulnerabilidades para las que los parches habían estado disponibles públicamente durante meses.
La gestión automatizada y probada de parches no es infraestructura opcional. Es higiene básica. Unattended-upgrades para parches de seguridad en Debian/Ubuntu, o herramientas equivalentes para sistemas basados en RHEL, evitan que la superficie de ataque crezca pasivamente.
Inicio de sesión como root y límites débiles de privilegios
Ejecutar procesos de aplicación como root, o permitir acceso SSH directo a root, significa que una sola vulnerabilidad explotada en cualquier aplicación le da al atacante control total de toda la máquina. El principio de mínimo privilegio existe precisamente para contener el radio de impacto de un compromiso.
Cada servicio debe ejecutarse bajo su propio usuario de sistema dedicado con los permisos mínimos necesarios para operar. Los directorios de aplicaciones, archivos de configuración y rutas de logs deben tener la propiedad correcta. El acceso SSH de root debe estar deshabilitado. La escalada de privilegios mediante sudo debe ser explícita y registrada.
TLS faltante o certificados mal configurados
Servir tráfico en HTTP plano en 2025 no es solo un fallo de confianza — expone tokens de sesión, credenciales y datos de la aplicación a cualquiera posicionado entre el cliente y el servidor. Un TLS mal configurado — certificados expirados, conjuntos de cifrado débiles, SSLv3 todavía habilitado — proporciona una falsa seguridad al tiempo que deja vulnerabilidades reales en su lugar.
Una instancia de Nginx o Caddy correctamente configurada con un certificado válido, conjuntos de cifrado sólidos, HSTS habilitado y OCSP stapling es la línea base mínima aceptable. La expiración del certificado debe automatizarse — Let’s Encrypt con renovación automatizada es un problema resuelto que elimina toda una clase de interrupciones.
Sin detección de intrusiones ni monitoreo de logs
Un servidor sin alertas es un servidor donde los ataques tienen éxito en silencio. Los archivos de log que nunca se revisan no ofrecen ningún valor. Sin detección de intrusiones — incluso herramientas simples basadas en reglas como Suricata u OSSEC — el movimiento lateral y la exfiltración de datos pueden proceder sin detectarse durante semanas.
El monitoreo efectivo no requiere un gran presupuesto de operaciones de seguridad. Requiere recopilación estructurada de logs, reglas de alerta para patrones de autenticación anómalos y una ruta de escalada clara cuando algo se activa. El objetivo es acortar el tiempo entre una brecha y su detección.
Qué encuentra realmente una auditoría de seguridad
Cuando realizamos una auditoría completa de seguridad de infraestructura en Solvanta, lo abordamos como lo haría un atacante: reconocimiento pasivo primero, luego escaneo activo, luego revisión manual de configuraciones y controles de acceso. Los hallazgos se clasifican por riesgo y se entregan con pasos específicos de remediación — no una lista de verificación genérica.
El hallazgo más común no es un exploit zero-day sofisticado. Es una combinación de los valores predeterminados descritos anteriormente, dejados sin cambio porque nadie fue específicamente encargado de cambiarlos. Reforzar un servidor no es técnicamente complejo — pero requiere atención deliberada y experiencia que la mayoría de los equipos no dedican a ello.
Si tu infraestructura ha crecido sin una revisión formal de seguridad, o si tienes servidores que se configuraron hace años y nunca han sido auditados, contáctanos para solicitar una evaluación de seguridad. El proceso de auditoría toma unos días y produce un panorama claro de dónde estás realmente.