No era un bot: era una persona
La pista está en el cliente SSH. La mayoría de ataques que vemos llegan de bibliotecas automatizadas que se anuncian solas. Esta sesión llegó desde Bitvise SSH Client (Tunnelier) 9.61 — un cliente gráfico de Windows. Detrás del teclado había alguien.
Entró como root con la contraseña admin123. Una credencial débil, probada a mano, que funcionó contra el cebo. Y lo que hizo después no se parece en nada a un script: se parece a una persona curioseando.
Primero, el reconocimiento
El primer comando fue una ráfaga de reconocimiento del sistema en una sola línea — quién soy, qué CPU, cuánta RAM, cuánto disco, cuánto lleva encendida:
Hasta aquí, normal. El reconocimiento es el primer paso de casi cualquier intrusión. Lo interesante es lo que vino después: en vez de instalar un minero, un bot o una puerta trasera, nuestro visitante quiso una cosa mucho más vanidosa.
Cinco intentos de instalar neofetch
neofetch es una herramienta que dibuja el logo del sistema y sus specs en colores — la captura típica de "mira mi máquina". Y esta persona estaba decidida a ejecutarla. Cuando un método fallaba en el entorno aislado, probaba otro:
Cinco rutas para el mismo objetivo trivial. Eso no lo hace un bot — un bot ejecuta su receta y se va. Esto es alguien troubleshooteando en directo, frustrándose con un sistema que no le devolvía lo que esperaba.
Por qué lo marcamos como crítico igualmente
El segundo intento es la razón. curl ... | bash descarga un script de una URL y lo ejecuta directamente, sin pasar por el disco ni por revisión. El honeypot capturó el contenido real: un shell script de 368 KB. Resultó ser el neofetch legítimo. Pero eso no lo sabíamos hasta capturarlo — y ahí está el punto.
curl | bashEl patrón es peligroso por diseño, no por el payload concreto. Quien controla esa URL decide qué se ejecuta en tu máquina, hoy y mañana. Hoy era neofetch; un cambio en el servidor remoto y mañana es otra cosa. Por eso se marca crítico con independencia de lo que devuelva: el riesgo es el mecanismo, no el fichero.
El rastro: de dónde vino
La conexión salió de infraestructura en Estambul (ArvanCloud, AS57568), a las 18:39 hora local — las 15:39 UTC. Una tarde: horario plausible de una persona, no de un cron. Matiz importante, sin adornos: eso es el origen de la infraestructura, no necesariamente dónde está quien teclea. ArvanCloud es hosting/CDN y bien puede ser un salto intermedio.
El cruce más revelador: el 65% del tráfico sale de hosting en Países Bajos — granjas de bots baratas replicando el mismo barrido una y otra vez. La persona de esta sesión no salió de ahí: vino de Estambul, fuera del foco del ruido. Dos mundos en el mismo cebo.
sha256: 2a272bbaa1275f21835fd3258fb8032ccdc98348e6ccb9cf58acacd366340170
shell script · 368 KB · neofetch (MIT, legítimo). El hash completo deja verificar que lo descargado fue el neofetch real y no un impostor con el mismo nombre. Es lo que separa "parecía inofensivo" de "lo comprobamos".
Y aquí el número que pone esto en contexto: las sesiones que llegan con un cliente de escritorio (Bitvise, PuTTY) son 1.409 de 268.155 — apenas el 0,5% del tráfico. La inmensa mayoría son bibliotecas headless repitiendo una receta. Esta tenía a alguien decidiendo en directo.
Y un cruce que pone a neofetch en su sitio: en las 268.155 sesiones del corpus, el comando nº1 es uname (106.796 veces), y el podio lo copa el reconocimiento de hardware — grep, lspci, nvidia-smi. Esta persona solo quería la versión bonita de lo que hace casi todo el mundo nada más entrar: averiguar qué máquina ha pillado. La diferencia es que ella lo intentó cinco veces, a mano.
Humano vs bot: por qué importa la diferencia
Separar las sesiones humanas de las automatizadas cambia cómo priorizas. Tres señales que delataron a esta persona:
- Cliente gráfico de escritorio: las botnets usan bibliotecas headless, no Bitvise Tunnelier sobre Windows.
- Reintentos variados: cinco métodos para la misma meta = una persona adaptándose, no un script repitiendo una receta fija.
- Objetivo sin valor de monetización: presumir de specs no instala un minero ni roba nada. Es comportamiento exploratorio, casi de curiosidad.
Un atacante humano cambia el cálculo de riesgo: improvisa, prueba lo que no esperabas, y a veces vuelve. Tratar todas las intrusiones como ruido automatizado hace que se te escapen justo las que tienen una persona detrás.
Qué hacer
- Bloquea
curl … | bashywget … | shen sesiones SSH: ningún mantenimiento legítimo necesita descargar-y-ejecutar en un solo comando. - Marca como alta señal el login
rootdesde un cliente SSH de escritorio: es un patrón de operador humano, no de barrido masivo. - Captura el contenido descargado, no solo la URL: la URL parecía inofensiva (GitHub); el valor está en tener el binario para verificar qué era de verdad.
- Credenciales como
admin123siguen abriendo puertas: el factor humano del otro lado prueba justo las que un equipo cansado deja puestas.
Lo valioso de esta sesión no es neofetch. Es el recordatorio de que, debajo de las cifras, hay personas tomando decisiones en tiempo real. Durante años hemos tratado las intrusiones como ruido automatizado. Un cebo bien puesto es donde por fin ves al adversario — no su log, a él.
CipherSentry despliega un cebo SSH que captura cada comando y cada descarga reales, los aísla y te los muestra en un panel. Vimos a esta persona instalar neofetch cinco veces; tú verás a quien llame a tu puerta.
Ver cómo funciona →Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia. IP y URLs ofuscadas ([.], hxxp) para evitar clics accidentales.
honeypot CipherSentry · sesión 9d00286f · IP 194.5.[REDACTED].238 · 2026-06-17 · contexto: 268.155 sesiones / 1.169 IPs