Los atacantes rara vez «comprometen» un sistema en la primera interacción; simplemente escanean configuraciones débiles que han sido olvidadas. El acceso SSH es, históricamente, el vector de entrada número uno para el movimiento lateral y la persistencia.

Si tu estrategia de seguridad se limita a cambiar el puerto 22, estás dejando la puerta trasera abierta. El hardening efectivo combina una configuración estricta en el sistema operativo con visibilidad continua.

⚙️ Checklist práctico para SSH (Linux)

Aplica estos cambios en /etc/ssh/sshd_config para reducir drásticamente la superficie de ataque:

Deshabilitar login directo de root: Obliga a usar cuentas nominales con sudo.
PermitRootLogin no

Forzar autenticación por clave pública: Elimina el riesgo de ataques de fuerza bruta.
PasswordAuthentication no
PubkeyAuthentication yes

Deshabilitar protocolos legacy: Elimina ciphers débiles (como MD5 o Arcfour).
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com

Establecer timeouts: Cierra sesiones olvidadas.
ClientAliveInterval 300
ClientAliveCountMax 0

Comando rápido para verificar sintaxis antes de reiniciar:
sudo sshd -t && sudo systemctl restart sshd

👁️ El eslabón perdido: Wazuh SCA

Configurar un servidor es solo la mitad del trabajo. La deriva de configuración (configuration drift) ocurre cuando alguien desactiva una regla por «emergencia» y olvida reactivarla.

Aquí es donde entra Wazuh (SCA – Security Configuration Assessment). En lugar de revisar manualmente cada servidor:

Auditoría automática: Wazuh escanea tus endpoints contra benchmarks (como CIS) para detectar si el puerto SSH fue reabierto o si la autenticación por contraseña volvió a habilitarse.

Detección en tiempo real: Si alguien intenta acceder con credenciales no permitidas, Wazuh registra el evento, permitiendo correlacionar logs de autenticación fallida con la IP de origen.

Integridad de archivos (FIM): Monitoriza /etc/ssh/sshd_config. Si el archivo cambia, recibes una alerta inmediata. Eso es seguridad proactiva, no reactiva.

💡 Recomendación técnica

No confíes en configuraciones estáticas. Implementa un pipeline de infraestructura como código (IaC) para aplicar estas reglas de manera consistente. Si manejas más de 5 servidores, la gestión manual es deuda técnica que terminará en un incidente de seguridad.

¿Estás monitoreando activamente los cambios en tus archivos de configuración SSH o confías únicamente en que «nadie los ha tocado»? ¡Te leo en los comentarios!


Daniel Maldonado

¡Hola! Soy Daniel Maldonado, Sr. Analista de Seguridad Informática y me dedico al hacking desde hace más de 10 años.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Daniel Maldonado
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.