Son las 7:43. Abre el portátil. Una alerta parpadea. CrowdSec ha bloqueado 47 conexiones. Pi-hole reporta consultas DNS inusuales. Un contenedor se reinició sin que usted lo iniciara.
¿Es un ataque? ¿O es normal?
Tres señales que indican un ataque real
1. Fallos de autenticación en volumen inusual. Cinco intentos SSH fallidos por la mañana — podría ser un empleado que olvidó su contraseña. Cinco mil intentos en una hora desde 40 IPs distintas — eso es un ataque de fuerza bruta. CrowdSec reconoce automáticamente este patrón y bloquea las fuentes.
2. Tráfico saliente hacia destinos desconocidos. Si aparecen conexiones regulares hacia IPs en regiones inesperadas que no ha mapeado — es una señal de alerta. Especialmente si ocurren de noche.
3. Procesos que usted no inició. Un script de minería saturando su CPU. Un puerto repentinamente abierto. Un nuevo usuario en la lista. Si algo corre en su sistema que no puede explicar — trátelo como una amenaza.
Las tres falsas alarmas más frecuentes
CrowdSec bloquea su propia IP. Ocurre especialmente con IP dinámica y varios intentos de login incorrectos. Solución: incluir sus propias subredes en la lista blanca.
Tareas de backup a hora inusual. Si su cron corre a las 03:00 y lee los logs a las 07:00, verá un pico de carga cuando nadie trabaja. No es una intrusión — es su backup funcionando.
Actualizaciones automáticas. Watchtower, apt-cron, imágenes Docker que se actualizan solas — todo genera conexiones de red, reinicios y breves picos de carga.
La regla que siempre aplica
Cuando no está seguro de si datos o credenciales podrían estar comprometidos: trátelo como un ataque real. El costo de una falsa alarma es una mañana perdida. El costo de un ataque real ignorado puede ser existencial.
Soluciones que resuelven esto