Tag: Seguridad

Recientemente me encontré con un análisis técnico excepcionalmente denso sobre seguridad de contenedores que merece la pena ser compartido. El autor empezó con una hipótesis simple: el aislamiento de filesystems de los contenedores debería ser suficiente para cargas de trabajo multi-tenant sin necesidad de máquinas virtuales, si se entiende suficientemente bien qué está pasando a nivel de syscall.

Después de una investigación exhaustiva, la conclusión es más incómoda de lo que esperaba: los valores por defecto te protegen bien, pero en el momento que empiezas a usar características “avanzadas” como la propagación de montajes bidireccional o el reetiquetado de SELinux, estás a un paso de entregarle las llaves de tu host a un atacante.

Vercel ha anunciado la disponibilidad general de Vercel Sandbox, una capa de ejecución diseñada específicamente para agentes de IA. Pero más allá del hype de los agentes, hay una pregunta interesante: ¿puede servirnos para ejecutar código de forma segura en diferentes lenguajes como PHP, Node o Go?

¿Qué es Vercel Sandbox?

Vercel Sandbox proporciona microVMs Linux bajo demanda. Cada sandbox está aislado, con su propio sistema de archivos, red y espacio de procesos. Obtienes acceso sudo, gestores de paquetes y la capacidad de ejecutar los mismos comandos que ejecutarías en una máquina Linux.

El problema que todos conocemos (pero fingimos que no existe)

Como persona que gestiona infraestructuras web desde hace décadas, he visto demasiados bots fingiendo ser lo que no son. User-Agent: “Mozilla/5.0 (Windows NT 10.0; Win64; x64)” cuando en realidad es un scraper chino aspirando tu contenido a las 3 de la mañana.

Los métodos tradicionales para identificar bots legítimos han sido, seamos honestos, patéticos:

• Rangos de IP: Que cambian, se comparten, o se spoofean
• Headers User-Agent: Que cualquiera puede falsificar en una línea de código
• Reverse DNS: Que funciona hasta que no funciona

Hoy Cloudflare anunció que está integrando HTTP Message Signatures directamente en su programa Verified Bots. Y después de leer los detalles técnicos, tengo que admitir algo: esto puede cambiar las reglas del juego definitivamente.

En la web de El Mundo, tenemos un  artículo con un titular que dice: “Mr. Bean ‘se cuela’ en la web oficial de la presidencia española“.

Este artículo, sin duda, es un ejemplo de la falta de rigor, y amarillismo “tecnológico” que nos inunda.

Una “receta” para tener a mano:

cat fichero.log  |
       \ awk '{print $1}'  |
       \ sort |
       \ uniq -c |
       \ sort -n |
       \ tail -10

Siempre he dicho: ” hay dos tipos de personas: Los que han perdido datos y los que aún no“.  Ante este panorama tratamos de hacer todo lo que está en nuestra mano para salvaguardar toda la información que tenemos en los ordenadores de la forma más segura.