Una campaña automatizada masiva está escaneando Internet en busca de servidores MongoDB sin contraseña, eliminando todo su contenido y dejando una nota de rescate. Expertos advierten: pagar es inútil.
Es el ataque más antiguo y fácil del libro, pero sigue funcionando con una efectividad devastadora. Hoy 2 de febrero de 2026, una nueva ola de ataques dirigidos contra instancias de bases de datos MongoDB mal configuradas.
A diferencia del ransomware sofisticado que cifra los archivos in situ, estos atacantes simplemente entran por la puerta principal (que el administrador dejó abierta), borran (“drop”) todas las bases de datos y dejan una nota de texto exigiendo Bitcoin. El problema es que, en la mayoría de los casos, los hackers no hacen una copia de seguridad de los datos antes de borrarlos, lo que significa que las víctimas están pagando por humo.
El Ataque: Automatización de Bajo Esfuerzo
La campaña actual no requiere exploits de zero day ni técnicas avanzadas.
- El Escaneo: Los atacantes utilizan scripts automatizados para barrer todo el rango de direcciones IPv4 buscando el puerto 27017 (el puerto por defecto de MongoDB).
- El Acceso: Intentan conectarse sin credenciales. Sorprendentemente, miles de servidores siguen configurados por defecto para aceptar conexiones de cualquier IP (0.0.0.0) sin requerir usuario ni contraseña.
- La Acción: Una vez dentro, el script ejecuta un comando dropDatabase() para eliminar toda la información y crea una nueva colección con un único documento: la nota de rescate.
Las Cifras de la Destrucción
Investigadores han puesto números a esta ofensiva reciente:
- Víctimas: Se han identificado más de 3,100 instancias completamente expuestas y comprometidas en los últimos días.
- Tasa de Infección: De las bases de datos expuestas detectadas, casi el 46% ya habían sido borradas y reemplazadas por la nota de rescate.
- El Rescate: Los atacantes suelen exigir montos relativamente bajos (alrededor de $500 USD en Bitcoin), apostando al volumen más que a grandes pagos individuales.
El Engaño del Rescate
La nota de rescate típica promete devolver los datos tras el pago, pero el análisis forense revela una verdad incómoda:
- No hay evidencia de exfiltración de datos en los logs de la mayoría de los servidores afectados. El script simplemente borra y sigue adelante.
- Pagar el rescate no solo financia al crimen, sino que tiene una tasa de recuperación cercana a cero. Los atacantes no tienen tus datos; los destruyeron en el momento en que entraron.
¿Cómo protegerse?
Este ataque es 100% prevenible con higiene básica de seguridad. Si administras una instancia de MongoDB:
- Activa la Autenticación: Edita el archivo mongod.conf y habilita la seguridad (security.authorization: enabled). Nunca dejes un servidor de base de datos sin usuarios y contraseñas.
- No expongas el puerto a Internet: Configura el bindIp para que solo escuche en 127.0.0.1 (localhost) si la aplicación está en el mismo servidor, o utiliza una VPN/túnel SSH para el acceso remoto.
- Firewall: Bloquea el puerto 27017 para todo el mundo excepto para las direcciones IP de tus servidores de aplicaciones de confianza.
