Hackear un sitio web es tan fácil como descargar un PDF. Openprovider filtró por accidente instrucciones para controlar dominios ajenos

El 6 de abril de 2025, el investigador Bob Diachenko, junto con analistas del equipo de Cybernews, descubrió un servidor Elasticsearch sin protección, perteneciente a la empresa Openprovider. Como resultado del incidente, información crítica quedó disponible públicamente.

Elasticsearch es un sistema diseñado para el análisis rápido y la búsqueda de información, utilizado frecuentemente con fines de monitoreo. Sin embargo, cuando está mal configurado, puede exponer involuntariamente datos internos, como sucedió en este caso.

El servidor contenía extensos registros con eventos relacionados con registros de dominios, acciones de clientes, procesamiento de solicitudes internas de API, y también authCodes — códigos únicos usados para transferir dominios entre registradores. Estos códigos actúan como contraseñas de activos digitales y podrían ser utilizados por atacantes para secuestrar nombres de dominio.

Junto a eso, los logs contenían metadatos personalizados: nombres de usuarios, ID de revendedores, estado de privacidad de registros WHOIS, así como registros sin procesar del proceso de registro. Lo más grave: incluso propietarios de dominios que habían pagado por servicios de anonimización fueron expuestos, incluyendo direcciones postales, teléfonos y correos electrónicos.

Según los cálculos de los investigadores, el servidor albergaba alrededor de una docena de índices con un volumen total de hasta 164 GB. Uno de ellos incluía un historial de registros que se extendía por varios años, y otros contenían comunicación interna con clientes — desde notificaciones hasta boletines técnicos.

Entre los datos más sensibles se encontraban combinaciones de nombres de dominio con códigos de autorización, identificadores técnicos y administrativos, datos de usuarios y handles internos. Esta combinación de elementos permite tomar control de activos digitales sin el consentimiento de sus dueños.

Además del control directo sobre los dominios, la filtración abre la puerta a ataques de phishing y fraudes dirigidos: con acceso a datos de contacto de revendedores o administradores, los delincuentes pueden simular comunicaciones legítimas o montar complejas estrategias de ingeniería social.

La magnitud de la filtración es tal que, en un escenario desfavorable, podría haber sido uno de los mayores incidentes de la historia. El secuestro de dominios de grandes empresas y la sustitución de su contenido por material malicioso podría haber desencadenado tanto fugas de datos de usuarios como una ruptura general de confianza en la infraestructura de internet.

Una amenaza adicional era la exposición de información sobre los mecanismos internos de Openprovider: los investigadores encontraron en los registros plantillas de respuesta, identificadores de procesos y la estructura de operaciones por lotes. Estos fragmentos permiten reconstruir el mapa lógico del servidor y utilizarlo en ataques dirigidos contra la capa de infraestructura.

La filtración también permitía correlacionar múltiples dominios gestionados por los mismos desarrolladores. Esta asociación permite identificar grupos de sitios con características comunes, en los que probablemente se repitan vulnerabilidades.

Tras detectar el problema, los investigadores se pusieron en contacto con la empresa. Openprovider confirmó la filtración y el 7 de abril cerró el acceso al servidor. Más tarde se descubrió que el sistema había estado desprotegido durante tres meses, tiempo durante el cual cualquier usuario podía descargar los datos sin restricciones.

Openprovider es una empresa neerlandesa acreditada por ICANN. Gestiona millones de dominios en todo el mundo y ofrece infraestructura para hosting, servicios en la nube y registro de dominios, trabajando principalmente con clientes corporativos y agencias. Su mercado principal es Europa, aunque su presencia abarca otras regiones.

En declaraciones oficiales, la empresa aseguró que notificará a los afectados en su próximo boletín. También anunció una revisión de sus procedimientos de seguridad interna y el lanzamiento de un programa de bug bounty para fomentar la búsqueda de vulnerabilidades.

Antes del incidente, Openprovider ya recurría a servicios externos de pruebas de seguridad, pero ahora considera endurecer su política de acceso y reforzar el control sobre la configuración de sus servidores de almacenamiento.

Este caso vuelve a demostrar que incluso en empresas tecnológicas maduras, un error de configuración puede tener consecuencias globales. Si esta base de datos hubiera caído en manos de cibercriminales, el daño podría haber afectado a miles de organizaciones y millones de usuarios. Para minimizar estos riesgos, es esencial realizar auditorías de seguridad periódicas y seguir las mejores prácticas para la protección de la infraestructura.