{"id":14,"date":"2026-06-18T08:08:49","date_gmt":"2026-06-18T08:08:49","guid":{"rendered":"https:\/\/codefend.com\/w\/?p=14"},"modified":"2026-06-18T08:08:49","modified_gmt":"2026-06-18T08:08:49","slug":"diario-de-un-hacker-aburrido-como-ejecute-un-high-latency-attack-sin-que-nadie-se-enterara","status":"publish","type":"post","link":"https:\/\/codefend.com\/w\/uncategorized\/diario-de-un-hacker-aburrido-como-ejecute-un-high-latency-attack-sin-que-nadie-se-enterara\/","title":{"rendered":"Diario de un Hacker Aburrido: C\u00f3mo Ejecut\u00e9 un High-Latency Attack sin que nadie se enterara"},"content":{"rendered":"\n

D\u00eda 1 \u2013 El Contacto Raro<\/h3>\n\n\n\n

Estaba tirado en la cama scrolleando LinkedIn cuando me llega un mensaje de un tipo que parec\u00eda gerente de sistemas.<\/p>\n\n\n\n

\u201cTe paso unas credenciales. Necesito que me ayudes con algo delicado.\u201d Me pas\u00f3 el contacto de Telegram.<\/p>\n\n\n\n

Lo agrego y va directo al grano: ten\u00eda acceso interno a la red de una empresa y quer\u00eda que lo hiciera lento<\/strong>. Le entend\u00ed perfecto: quer\u00eda un High-Latency Attack<\/strong>.<\/p>\n\n\n\n

Acept\u00e9. Abr\u00ed el Kali, configur\u00e9 proxies residenciales y empec\u00e9 suave: conexiones lentas al login. Un byte cada 40-50 segundos.<\/p>\n\n\n\n

D\u00eda 2 \u2013 La Siembra del High-Latency Attack<\/h3>\n\n\n\n

Ya tengo 150 conexiones abiertas chupando hilos del servidor.<\/p>\n\n\n\n

El balanceador de carga es viejo y nadie lo actualiz\u00f3. Perfecto para un high-latency attack<\/strong>. Program\u00e9 un script en Python que rota User-Agents y hace que parezca tr\u00e1fico normal desde varios pa\u00edses.<\/p>\n\n\n\n

El cliente me escribi\u00f3: \u201c\u00bfC\u00f3mo vas?\u201d Le respond\u00ed: \u201cComo tiene que ir un buen High-Latency Attack<\/strong>: lento pero seguro\u201d.<\/p>\n\n\n\n

D\u00eda 3 \u2013 Ya Empieza a Sentirse<\/h3>\n\n\n\n

Llegamos a 400 conexiones.<\/p>\n\n\n\n

Algunos servicios ya tienen latencia notable. El equipo de TI abri\u00f3 un ticket diciendo \u201clentitud intermitente\u201d. Nadie habla de ataque todav\u00eda.<\/p>\n\n\n\n

Estoy combinando Slowloris con R.U.D.Y. El servidor est\u00e1 esperando que termine de enviar datos que nunca van a llegar. El High-Latency Attack<\/strong> funcionando como un reloj.<\/p>\n\n\n\n

D\u00eda 4 \u2013 Modo Fantasma Total<\/h3>\n\n\n\n

Ya estoy m\u00e1s adentro. Tengo un beacon chiquito reportando info.<\/p>\n\n\n\n

Lo mejor fue ver el chat interno: \u201c\u00bfAlguien m\u00e1s tiene la plataforma lenta?\u201d Todos respondiendo con caras sufriendo. Nadie sospecha un high latency attack<\/strong>. Piensan que es problema de internet. Me parto de risa.<\/p>\n\n\n\n

D\u00eda 5 \u2013 La Cosecha<\/h3>\n\n\n\n

Ya saqu\u00e9 credenciales de dominio y estoy extrayendo datos despacito, como debe ser en un buen High-Latency Attack<\/strong>.<\/p>\n\n\n\n

Podr\u00eda tumbar todo el sistema ahora mismo\u2026 pero no. La gracia est\u00e1 en la paciencia.<\/p>\n\n\n\n

D\u00eda 6 \u2013 Casi Me Descubren<\/h3>\n\n\n\n

Activaron una nueva regla de firewall, pero como mis conexiones del High-Latency Attack<\/strong> ya estaban abiertas desde hace d\u00edas, las dej\u00f3 pasar.<\/p>\n\n\n\n

Una vez que est\u00e1s adentro con este tipo de ataque, es muy dif\u00edcil que te echen.<\/p>\n\n\n\n

D\u00eda 7 \u2013 La Despedida Elegante<\/h3>\n\n\n\n

D\u00eda 1 \u2013 El Contacto Raro<\/p>\n\n\n\n

Estaba tirado en la cama cuando me lleg\u00f3 el mensaje por LinkedIn. Un tipo con pinta de gerente de sistemas me ofreci\u00f3 credenciales y me pas\u00f3 su Telegram.<\/p>\n\n\n\n

Lo agregu\u00e9 y fue directo: \u201cTengo acceso interno, pero quiero que lo hagas lento, que no se note\u201d. Entend\u00ed perfecto: quer\u00eda un high-latency attack<\/strong>.<\/p>\n\n\n\n

Acept\u00e9. Us\u00e9 las credenciales que me dio, configur\u00e9 varios proxies residenciales y empec\u00e9 suave. Abr\u00ed unas 30 conexiones al endpoint de login manteniendo cada una viva con headers parciales. Un byte cada 35-45 segundos. Nada que active rate limiting ni WAF.<\/p>\n\n\n\n

D\u00eda 2 \u2013 La Siembra del High-Latency Attack<\/h3>\n\n\n\n

Ya ten\u00eda 160 conexiones abiertas. El balanceador de carga era viejo y ten\u00eda un timeout alto en conexiones persistentes. Perfecto para este tipo de high-latency attack<\/strong>.<\/p>\n\n\n\n

Escrib\u00ed un script simple en Python con requests y threading que rotaba User-Agents y proxies autom\u00e1ticamente. Parec\u00eda tr\u00e1fico leg\u00edtimo de usuarios desde distintos pa\u00edses. El cliente me pregunt\u00f3 c\u00f3mo iba y le contest\u00e9: \u201cEmpezando el high-latency attack<\/strong> como corresponde, despacito\u201d.<\/p>\n\n\n\n

D\u00eda 3 \u2013 Ya Empieza a Sentirse<\/h3>\n\n\n\n

Llegu\u00e9 a casi 450 conexiones. Algunos hilos del backend empezaban a quedarse colgados esperando que completara las peticiones HTTP.<\/p>\n\n\n\n

Combin\u00e9 dos t\u00e9cnicas reales:<\/p>\n\n\n\n

    \n
  • Slowloris<\/strong> (manteniendo conexiones abiertas con headers incompletos)<\/li>\n\n\n\n
  • Slow HTTP POST<\/strong> (empezando a subir formularios grandes y enviando solo 1-2 bytes cada 20-30 segundos)<\/li>\n<\/ul>\n\n\n\n

    Los de TI abrieron un ticket de \u201clentitud intermitente\u201d. El admin escribi\u00f3: \u201cParece pico de usuarios\u201d. Me re\u00ed solo en la pieza.<\/p>\n\n\n\n

    D\u00eda 4 \u2013 Modo Fantasma Activado<\/h3>\n\n\n\n

    Ya estaba m\u00e1s adentro. Usando una de las sesiones abiertas, sub\u00ed un peque\u00f1o webshell\/beacon que me reportaba cada cierto tiempo sin generar mucho tr\u00e1fico.<\/p>\n\n\n\n

    Entr\u00e9 al chat interno de la empresa (ten\u00edan Slack conectado). La gente se quejaba: \u201c\u00bfOtra vez la plataforma lenta?\u201d Nadie hablaba de ciberataque. Todos culpaban al internet, al proveedor o a una actualizaci\u00f3n reciente. Nadie sospechaba un high-latency attack<\/strong>.<\/p>\n\n\n\n

    D\u00eda 5 \u2013 La Cosecha<\/h3>\n\n\n\n

    Con el beacon ya ten\u00eda visibilidad interna. Empec\u00e9 a extraer datos importantes de forma muy lenta: pocos KB por hora a trav\u00e9s de las conexiones ya establecidas.<\/p>\n\n\n\n

    Tambi\u00e9n mape\u00e9 algunos servidores internos y saqu\u00e9 credenciales de un Active Directory mal configurado. Podr\u00eda haber hecho ruido y terminar todo r\u00e1pido, pero mantuve el high-latency attack<\/strong> estable. La paciencia siempre paga.<\/p>\n\n\n\n

    D\u00eda 6 \u2013 Casi Me Descubren (y no)<\/h3>\n\n\n\n

    Activaron una nueva regla en el firewall y un sistema de detecci\u00f3n de anomal\u00edas. Por un momento me tens\u00e9\u2026 pero como todas mis conexiones estaban abiertas desde hac\u00eda d\u00edas, el tr\u00e1fico no parec\u00eda nuevo ni sospechoso. Pas\u00f3 como si nada.<\/p>\n\n\n\n

    Esa es la belleza del high-latency attack<\/strong>: una vez que est\u00e1s adentro, es muy dif\u00edcil que te detecten.<\/p>\n\n\n\n

    El cliente estaba contento con los datos que le iba pasando.<\/p>\n\n\n\n

    D\u00eda 7 \u2013 La Despedida Elegante<\/h3>\n\n\n\n

    Cerr\u00e9 la mayor\u00eda de las conexiones de forma limpia. Dej\u00e9 solo 8-10 abiertas por si necesito volver.<\/p>\n\n\n\n

    En unas horas el servidor deber\u00eda volver casi a la normalidad. Los logs tendr\u00e1n un mont\u00f3n de conexiones largas y timeouts, pero nada que grite claramente \u201chigh-latency attack<\/strong>\u201d. Probablemente lo archiven como \u201cproblema de rendimiento\u201d.<\/p>\n\n\n\n

    Moraleja del hacker aburrido:<\/strong> Gastan plata en firewalls, IPS y monitoreo para defenderse de ataques ruidosos\u2026 y despu\u00e9s caen por un high-latency attack<\/strong> que parece solo \u201cla red lenta de siempre\u201d.<\/p>\n\n\n\n

    El sistema va a normalizarse en unas horas. Los logs van a mostrar basura, pero nada que diga claramente \u201cHigh-Latency Attack<\/strong>\u201d.<\/p>\n\n\n\n

    Moraleja del hacker aburrido:<\/strong> La mayor\u00eda de las defensas est\u00e1n preparadas para bombas y ataques ruidosos. Muy pocos est\u00e1n preparados para un High-Latency Attack<\/strong>: la niebla que se filtra despacito por debajo de la puerta.<\/p>\n","protected":false},"excerpt":{"rendered":"

    D\u00eda 1 \u2013 El Contacto Raro Estaba tirado en la cama scrolleando LinkedIn cuando me llega un mensaje de un tipo que parec\u00eda gerente de sistemas. \u201cTe paso unas credenciales. Necesito que me ayudes con algo delicado.\u201d Me pas\u00f3 el contacto de Telegram. Lo agrego y va directo al grano: ten\u00eda acceso interno a la […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/posts\/14","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/comments?post=14"}],"version-history":[{"count":1,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/posts\/14\/revisions"}],"predecessor-version":[{"id":15,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/posts\/14\/revisions\/15"}],"wp:attachment":[{"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/media?parent=14"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/categories?post=14"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/codefend.com\/w\/wp-json\/wp\/v2\/tags?post=14"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}