La mayoría de las empresas no sabe qué de sí misma es accesible desde internet. No por negligencia: porque la superficie expuesta crece sola, un subdominio cada vez, un deploy cada vez. Esto es lo que emerge de un escaneo pasivo típico, reconstruido a partir de casos reales y anonimizado.
01Pasivo significa pasivo
Primero, una precisión técnica que importa. HUGIN no ataca nada. No envía paquetes a tus servidores, no prueba exploits, no hace ruido. Recoge solo lo que ya es público: registros DNS, certificados transparentes, repositorios de código abiertos, bases de datos de escaneos de internet.
Es la misma información que un atacante recopila en la fase de reconocimiento, antes incluso de tocarte. La diferencia es que nosotros te la mostramos, él no.
02El dominio que creías conocer
Se parte del dominio principal y se enumera. Casi siempre el número de subdominios activos sorprende al cliente. Este es un output típico, reconstruido:
Veinticuatro subdominios, de los cuales el cliente recordaba quizá ocho. Los demás son el residuo de proyectos viejos, entornos de test, proveedores que crearon un host y nunca lo apagaron.
03Los tres problemas que salen siempre
El puerto olvidado
vpn-test.acme-sa.es con el puerto 3389 abierto significa un servicio de escritorio remoto (RDP) accesible desde internet. Era un test, debía durar una tarde, lleva dos años online. El RDP expuesto es uno de los vectores de ransomware más explotados de todos. Coste para cerrarlo: cinco minutos. Coste si lo encuentra otro antes: potencialmente la empresa.
El certificado caducado
acme-staging.es con un certificado caducado hace meses cuenta dos cosas. Primero, que ese entorno no está monitorizado. Segundo, que probablemente corre una versión vieja y sin actualizar de la aplicación. Los entornos de staging olvidados son una puerta lateral clásica: menos protegidos que el sitio principal, pero a menudo con acceso a los mismos datos.
Las claves en el código
Tres claves API encontradas en un repositorio público en GitHub. Pasa cuando un desarrollador sube una configuración de test sin darse cuenta. Si esas claves siguen siendo válidas, cualquiera que las lea puede usar los servicios que protegen. Es el finding que despierta de noche a un CISO.
04Por qué la fotografía importa
El objetivo del escaneo no es asustar. Es hacer visible algo que ya existe. La superficie de ataque no aumenta porque alguien te tenga en el punto de mira. Aumenta sola, como el polvo, mientras el equipo hace su trabajo y crea hosts, deploys, integraciones.
05Cómo se cierra, en orden
Una vez tienes la lista, la remediación es trivial en la forma, disciplinada en el fondo:
- Apaga lo que no sirve. Cada host vivo es una superficie. Si nadie lo usa, hay que apagarlo, no dejarlo "por si acaso".
- Cierra los puertos de gestión. RDP, SSH, paneles admin nunca deben exponerse directamente. Se alcanzan por VPN, no por internet abierto.
- Rota los secrets expuestos. Una clave que ha acabado en público está quemada. Hay que revocarla y regenerarla, no "vigilarla".
- Pon monitorización. La superficie cambia cada semana. Una fotografía única envejece. Hay que mirarla en continuo.
El último punto es la razón por la que HUGIN existe como servicio y no solo como demo. El escaneo gratuito es la primera foto. El valor real es no perder nunca de vista qué expones, mientras la empresa sigue creciendo.