Alerta: ¡Miles de sitios web italianos en riesgo! 526.000 sitios y 6.500 bases de datos a la venta en la Darkweb.

Luca Stivali : 16 octubre 2025 08:03

Una nueva publicación en la dark web ofrece acceso completo a miles de servidores y bases de datos MySQL propiedad de proveedores de alojamiento compartido italianos.

En las últimas horas, apareció un nuevo hilo en un foro underground con el título inequívoco: “Sitios de hosting italianos – 9 servidores más 40 – 526193 copias de seguridad de sitios – 4631 clientes de hosting – 6546 bases de datos MySQL”.

Aviso legal: Este informe incluye capturas de pantalla y/o texto de fuentes públicas. La información proporcionada es únicamente para fines de inteligencia de amenazas y concientización sobre riesgos de ciberseguridad. Red Hot Cyber condena cualquier acceso no autorizado, difusión indebida o uso indebido de estos datos. Actualmente no es posible verificar de forma independiente la autenticidad de la información reportada, ya que la organización involucrada aún no ha publicado un comunicado oficial en su sitio web. Por lo tanto, este artículo debe considerarse únicamente con fines informativos y de inteligencia.

El autor del post, que utiliza el apodo 010010 , es un antiguo usuario de la plataforma (activo desde 2018) y ofrece a la venta por 1.000 dólares en TRC20 un volcado de datos completo procedente, según él, de infraestructuras de hosting italianas .

Las capturas de pantalla publicadas junto con la publicación muestran claramente:

• Un gran volcado de SQL (1,33 GB) que contiene 16 archivos, nombrados sugestivamente para diferentes entornos o clientes;
• Acceso completo a las bases de datos MySQL , incluida la tabla t_payservice_mysql que contiene nombres de usuario y contraseñas en texto sin cifrar para más de 6500 instancias;
• Cuentas de clientes y códigos de usuario , potencialmente pertenecientes a revendedores o clientes finales de empresas de alojamiento web italianas.

Un detalle no despreciable es la promesa del autor: “Daré la contraseña root de mysql a phpmyadmin” , muestra de que el acceso no se limita a los datos sino que se extiende a todo el sistema de gestión.

OSINT: ¿Quién es el vendedor? Perfil preliminar «010010»

Realizamos un análisis OSINT preliminar de la evidencia publicada. Aspectos destacados:

• El apodo del actor es 010010 Es un nombre de usuario binario, corto y con un marcado acento técnico/hacker; no es una elección aleatoria para un proveedor de datos. La cuenta del foro lleva activa desde 2018, con reacciones y credenciales que denotan una reputación consolidada (no es un perfil desechable).
• Contacto y monetización: El anuncio solicita $1,000 en USDT TRC20 y está dirigido a compradores con conocimientos técnicos (por ejemplo, «personas que saben cómo usar el panel de hosting»). El contacto es una cuenta de Telegram ofuscada, un patrón típico para evadir la moderación y a los usuarios poco fiables.
• Captura de pantalla: Una de las capturas de pantalla muestra la ventana del Explorador en turco (etiquetas como Tür, Boyut, Tamam ), y el nombre stanislav karacetin aparece en la barra con la ruta de perfil C:UsersstaniDocumentshostingdatabase . Esto proporciona dos pistas concretas: el volcado se agregó y guardó en un equipo con el sistema operativo configurado en turco, y el autor de la captura de pantalla (o el propietario del equipo que generó los archivos) es identificable como «stanislav / stani» en el perfil local.
• Marca de tiempo: Los archivos tienen una marca de tiempo del 14/10/2025 entre 10:44 y 11:27, consistente con el período de tiempo de publicación.

Hipótesis de trabajo (de alto nivel): Es probable que el vendedor sea un operador técnico, que posiblemente opere desde una zona de habla turca o posea una máquina en turco. Su comportamiento (nombre de usuario binario, monetización en TRC20, contacto ofuscado de Telegram) es consistente con el de los proveedores de la zona de habla turca/Europa del Este que operan en los mercados de credenciales y bases de datos.

Un caso que pone de relieve la fragilidad del hosting compartido

Aunque todavía no se han identificado los proveedores implicados, la evidencia técnica muestra un patrón típico de las infraestructuras de alojamiento web compartido italianas : bases de datos llamadas “clienti_nomeaziendaXX”, referencias a múltiples dominios y tablas replicadas para cientos de usuarios.

Este tipo de deterioro suele ser el resultado de:

• paneles de administración expuestos (cPanel, Plesk, DirectAdmin) con credenciales débiles o reutilizadas;
• vulnerabilidades conocidas en CMS o aplicaciones web alojadas (WordPress, Joomla, PrestaShop);
• Mala segmentación entre clientes , lo que permite que un único acceso se propague a todo el nodo.

Un riesgo concreto para miles de sitios web y empresas italianas

Si los datos a la venta fueran auténticos, el impacto sería significativo: las bases de datos mostradas contienen cuentas de clientes , contraseñas , códigos de dominio y copias de seguridad completas del sitio .
La información de este tipo se puede utilizar para:

• robo de identidad digital y clonación de sitios web legítimos ;
• acceso no autorizado a los paneles de administración ;
• infecciones dirigidas a través de cadenas de suministro (inyección de puertas traseras o malware en CMS);
• ataques secundarios contra clientes de los proveedores involucrados.

Una vez más, los foros underground confirman su función como mercado paralelo de infraestructuras comprometidas , donde se venden volcados de SQL, logins RDP y paneles Plesk por una fortuna.
En el caso de hoy, el origen italiano del material representa una señal de alarma más para un sector –el del hosting compartido– que sigue padeciendo una crónica falta de segmentación y endurecimiento .

Como suele ocurrir en estos contextos, el valor económico requerido (apenas 1.000 dólares) es inversamente proporcional al riesgo potencial para las miles de empresas y profesionales que podrían verse expuestos.

Red Hot Cyber seguirá monitoreando la propagación de este vertido y cualquier posible correlación con proveedores reconocidos en Italia. Por ahora, es un recordatorio más de lo frágil que puede ser la seguridad upstream para quienes alojan miles de sitios web a diario.

Luca Stivali
Entusiasta de la ciberseguridad y empresario en el sector de las TI desde hace 25 años, experto en diseño de redes y gestión de sistemas informáticos complejos. Pasión por un enfoque proactivo de la ciberseguridad: entender cómo y de qué protegerse es crucial.

Lista degli articoli