Sin diseño, sin publicidad ni contenido: cómo una página vacía en Internet alcanzó 30.000 visitas en un mes (y por qué eso resulta peligroso)

Un dominio común en la zona .com, comprado para un experimento doméstico y dejado casi vacío, acumuló decenas de miles de solicitudes en pocas semanas. La historia, descrita por Cybernews, muestra que tan pronto como una nueva dirección aparece en la red, se desencadena casi de inmediato un flujo de solicitudes automatizadas de bots y escáneres. Como resultado, incluso una sola página sencilla sin diseño ni publicidad puede traducirse para el propietario en gastos inesperados y riesgos adicionales de seguridad.

El autor del artículo compró dominio a través de Cloudflare para un laboratorio doméstico e instaló en él un único archivo HTML de 1,26 KB con la frase «¿Por qué estás aquí?». Nada de diseño, scripts ni optimización. Sin embargo, ya a la semana Cloudflare felicitó al propietario por la primera millar de visitas, aunque el contador real superó las cuatro mil. En un mes el servicio registró 21 620 visitas desde aproximadamente 1 400 dispositivos «únicos» y 30 560 vistas, lo que con un archivo tan diminuto se tradujo en 63,43 megabytes de tráfico. Aproximadamente un tercio de las solicitudes procedieron de Hong Kong, otro tercio de Estados Unidos, y el resto se distribuyó entre otros países.

Según Cloudflare Radar, en los últimos doce meses alrededor del 30% de todo el tráfico de Internet fueron solicitudes de sistemas automatizados. La mayor parte corresponde a Estados Unidos — 39,4%, seguidos por Alemania con 6,4% y Singapur con 4,2%.

Ben Foster, director de The SEO Works, explica que los bots no necesitan adivinar los nombres de dominio: la información sobre el registro y la emisión de certificados llega a listas públicas que los escáneres rastrean constantemente. Foster subraya que poner en marcha un sitio sin cortafuegos de red y sin protección contra bots se convierte en un juego de ruleta, aunque incluso teniendo en cuenta el tráfico automatizado, mil visitas al día para un dominio completamente nuevo parece sospechosamente alto.

Terrence Ngu, fundador y director de Hashmeta, señala que los bots monitorean los registros DNS públicos, los registros de certificados, escanean rangos de direcciones IP y siguen enlaces desde otras plataformas. Según él, los sitios corporativos y de información poco visibles son detectados por escáneres universales en cuestión de horas o días después del lanzamiento.

Joe Alanya, director de estrategia de it.com Domains, añade que las zonas de dominio grandes como .com se procesan con especial intensidad, así como los recursos de startups, proyectos cripto y servicios SaaS. Según la observación de su equipo, incluso los sitios vacíos reciben un flujo notable de solicitudes automatizadas justo después de que el dominio comienza a delegarse.

Ebenezer Allen, director general de la plataforma educativa Westlink Academy, afirma que en los dominios nuevos suelen coincidir varios tipos de tráfico automatizado: rastreadores de búsqueda y comerciales, sistemas de monitorización y escáneres agresivos, que buscan errores de configuración, paneles de administración abiertos, cuentas predeterminadas y formularios web vulnerables.

Parte de las solicitudes proviene de servicios legítimos de búsqueda y control de disponibilidad, pero una porción considerable corresponde a mecanismos maliciosos que intentan registrar cuentas, enviar spam a formularios, acceder a secciones administrativas o prepararse para el secuestro del dominio tras el vencimiento del registro. Gran parte de ese tráfico proviene de la infraestructura de grandes proveedores de la nube.

Billy Argent, copropietaria y directora de UX de la agencia Passionates Agency, señala que estos picos de tráfico fácilmente superan los límites de los planes económicos. Si en lugar de una página vacía se publica, por ejemplo, una landing de varios megabytes, el volumen total de datos transferidos con el mismo número de solicitudes se acercará a 30 gigabytes.

En el caso de un vídeo de 50 megabytes o una animación de 200 megabytes, superar el límite de 10 gigabytes al mes puede ocurrir en menos de dos días, especialmente si se paga por consumo real de recursos. Joe Alanya cita casos en los que propietarios consumieron cuotas involuntariamente debido a las constantes solicitudes de bots a un archivo grande.

Ngu añade que los ataques automatizados cada vez más apuntan a los mecanismos de códigos de un solo uso: robots solicitan masivamente OTP por SMS o mensajería, con lo que las empresas reciben facturas considerables por mensajes sin un solo cliente real.

Los especialistas aconsejan activar protección básica antes de poner el sitio en acceso público. Se trata de conectar una CDN con cortafuegos web, activar el filtrado de bots, limitar la frecuencia de solicitudes y comprobar la reputación de las direcciones IP. Los paneles administrativos, paneles de control, tableros internos y otras secciones sensibles deben estar protegidos por autenticación fiable y no deben quedar accesibles públicamente a través de rutas de entrada estándar, que se recomienda cambiar.

Se recomienda añadir CAPTCHA y otros medios para dificultar ataques automatizados a formularios críticos, mover los archivos pesados a caché o URLs limitadas, y configurar los sistemas de analítica para separar la actividad humana de la máquina. De lo contrario, incluso un dominio inofensivo con una sola línea de texto puede primero inflar las estadísticas y luego ocasionar gastos innecesarios e incidentes de seguridad.