Analistas de DataDog Security Labs han identificado una campaña maliciosa a gran escala contra servidores Nginx, en la que los atacantes consiguen acceso a la infraestructura y desvían de forma silenciosa el tráfico de los usuarios a través de sus propios servidores. El elemento más preocupante es que esta técnica se disimula como un uso legítimo de las capacidades de balanceo de carga y proxy inverso de Nginx, pasando prácticamente inadvertida para muchas soluciones de monitorización y seguridad tradicionales.
Campaña maliciosa contra Nginx y panel de hosting Baota
Según la información publicada, la actividad se relaciona con la explotación de una vulnerabilidad conocida como React2Shell, utilizada presumiblemente como vector inicial de compromiso. Una vez dentro del sistema, los atacantes centran sus esfuerzos en instalaciones de Nginx y en la popular panel de hosting Baota, ampliamente empleada en entornos de VPS y servidores dedicados en Asia.
Los dominios afectados se concentran en extensiones muy usadas en el entorno asiático, como .in, .id, .pe, .bd, .th. Paralelamente, se observa un interés específico por dominios .edu y .gov, indicio de una orientación hacia instituciones educativas y entidades gubernamentales. Este tipo de sitios gozan de un nivel de confianza elevado entre usuarios y motores de búsqueda, lo que convierte su tráfico en un objetivo valioso para campañas de phishing, fraude financiero y distribución de malware.
De acuerdo con estudios de W3Techs y Netcraft, Nginx figura entre los servidores web más desplegados a nivel mundial, prestando servicio a una proporción significativa de sitios con alto volumen de tráfico. Este predominio hace que una campaña de explotación sistemática de Nginx, como la descrita, tenga un potencial de impacto global especialmente elevado.
Cómo funciona el ataque: manipulación de la configuración de Nginx
Bloques location maliciosos y uso abusivo de proxy_pass
Tras conseguir acceso al servidor, los atacantes no explotan vulnerabilidades propias de Nginx. En lugar de ello, modifican los archivos de configuración existentes para insertar bloques location ocultos. Estos bloques se diseñan para interceptar peticiones hacia rutas o URL específicas y reenviarlas, mediante la directiva proxy_pass, a servidores controlados por los atacantes.
La sofisticación de la técnica radica en que, durante el proxy inverso, se conservan los encabezados originales de la petición, tales como Host, X-Real-IP, User-Agent y Referer. De este modo, el tráfico aparenta ser una solicitud legítima hacia el sitio de destino, simplemente gestionada por un balanceador de carga o un proxy intermedio. Para la mayoría de sistemas de seguridad, este comportamiento es indistinguible de una configuración avanzada pero perfectamente normal de Nginx.
Automatización y despliegue masivo de configuraciones maliciosas
Los investigadores señalan el uso de herramientas automatizadas para introducir estas modificaciones en los servidores comprometidos. El flujo observado incluye la búsqueda de sistemas vulnerables, la explotación inicial —posiblemente mediante React2Shell—, la alteración de los archivos de configuración para añadir los bloques location y proxy_pass maliciosos, y finalmente el reinicio o recarga de Nginx para aplicar los cambios.
Este enfoque automatizado permite escalar la campaña de forma rápida, replicando patrones de redirección idénticos en numerosos servidores. Además, las directivas maliciosas se incrustan en archivos de configuración ya existentes, que en muchas organizaciones se revisan sólo de forma esporádica y rara vez se someten a un control formal de integridad.
Por qué es difícil detectar el secuestro de tráfico en Nginx
Uno de los factores clave que explican la eficacia de esta campaña es que el tráfico del usuario termina llegando al sitio legítimo. La víctima ve la página esperada y puede interactuar con ella con normalidad, mientras que el paso de sus peticiones por la infraestructura del atacante permanece oculto. Esta situación se ve agravada por varios elementos técnicos adicionales.
Primero, la técnica se apoya exclusivamente en la funcionalidad estándar de Nginx (proxy inverso y balanceo). A ojos de un sistema de monitorización básico, la configuración parece propia de un servidor web de alto rendimiento que distribuye carga entre distintos orígenes, sin indicios evidentes de uso malicioso.
Segundo, los atacantes no modifican ni el binario de Nginx ni el código de la aplicación. El foco se sitúa en los archivos de configuración, que con frecuencia constituyen una “zona ciega” si no se han implementado mecanismos de control de cambios, firma o comparación con versiones de referencia. Muchas herramientas de seguridad endpoint priorizan la vigilancia de ejecutables y librerías, dejando de lado configuraciones complejas como las de Nginx.
Tercero, sin un monitorización de red en profundidad y análisis de rutas, es fácil que los administradores pasen por alto que parte de las peticiones se enrutan a IPs o dominios externos no documentados. Los registros del propio Nginx pueden parecer completamente normales, ya que la actividad más sospechosa se concentra en la infraestructura controlada por los atacantes, fuera del alcance de los sistemas internos de observabilidad.
Medidas de protección para servidores Nginx y paneles de hosting
La campaña pone de manifiesto la necesidad de un enfoque integral de seguridad en Nginx y en la infraestructura de hosting. Para reducir la superficie de ataque, resultan especialmente recomendables las siguientes prácticas:
1. Control estricto de la integridad de la configuración. Versionar y auditar los archivos de configuración de Nginx y de paneles como Baota (por ejemplo, con Git), habilitar herramientas de monitorización de integridad de ficheros (FIM) y generar alertas ante cualquier modificación inesperada, por mínima que sea.
2. Limitación y segmentación de accesos administrativos. Minimizar el número de cuentas con permisos para editar configuraciones, aplicar multi-factor authentication, restringir el acceso a interfaces administrativas a redes internas o VPN y separar claramente los segmentos de gestión de los de servicio público.
3. Gestión proactiva de vulnerabilidades. Mantener un proceso de patch management ágil para sistemas operativos, Nginx, Baota y demás componentes expuestos, siguiendo de forma continua los boletines de seguridad y avisos relativos a fallos como React2Shell y a vulnerabilidades en paneles de hosting.
4. Monitorización avanzada de red y tráfico HTTP. Correlacionar rutas de tráfico previstas con las observadas, identificar destinos externos inesperados en las directivas proxy_pass, y utilizar análisis de flujo (NetFlow, IPFIX) y captura selectiva de paquetes para revisar patrones anómalos en el proxy inverso.
5. Uso de soluciones de seguridad especializadas. Implementar WAF, IDS/IPS y herramientas de análisis de comportamiento de tráfico capaces de detectar desviaciones sutiles, incluso cuando el ataque se disfraza de uso legítimo de funcionalidades de Nginx. Reglas específicas que vigilen cambios en la topología de backend y nuevos destinos de proxy pueden resultar especialmente efectivas.
La evidencia recopilada muestra que, una vez logrado el acceso inicial, basta con alterar unas pocas líneas de configuración para transformar un servidor Nginx en un potente mecanismo de control encubierto del tráfico web. La combinación de auditorías periódicas de configuración, modelos de acceso restrictivos, gestión continua de vulnerabilidades y monitorización avanzada constituye la mejor defensa para dificultar este tipo de ataques y mitigar el impacto tanto en los propietarios de los sitios como en los usuarios finales. Invertir en la seguridad de la capa de proxy inverso y mantenerse al día en nuevas técnicas de abuso de Nginx es ya un requisito esencial para cualquier organización con presencia crítica en Internet.
