2 puntos por GN⁺ 2025-08-21 | 1 comentarios | Compartir por WhatsApp
  • El sitio web de solicitud de visas de EE. UU. intenta realizar un escaneo de puertos de red del usuario
  • Algunos usuarios observaron tráfico de red inesperado al acceder al sitio web
  • Se han planteado controversias y preocupaciones de seguridad sobre el propósito de este comportamiento de escaneo de puertos
  • Algunos suponen que se trata de un procedimiento de verificación de seguridad
  • Se extienden las preocupaciones sobre la privacidad y el acceso excesivo a la red

Controversia por el escaneo de puertos de red en el sitio de solicitud de visas de EE. UU.

Varios usuarios que accedieron al sitio web de solicitud de visas de EE. UU. descubrieron que el sitio intentaba realizar un escaneo de puertos en la red del usuario. Como resultado, los usuarios confirmaron mediante registros y otros medios que, al entrar al sitio desde el navegador, se generaba tráfico de red distinto al habitual.

Principales dudas

  • No hubo una explicación clara sobre si estos intentos de escaneo de puertos forman parte de un procedimiento de verificación para reforzar la seguridad, o si existe algún otro propósito
  • Expertos en seguridad mencionan que este método podría ser una revisión previa para filtrar bots maliciosos, servidores proxy o usuarios de VPN
  • Sin embargo, se ha extendido la controversia sobre si acceder a puertos de red sin consentimiento previo desde un sitio web público que solicita información personal sensible contradice los principios de privacidad

Reacción de la comunidad y preocupaciones

  • Los usuarios comunes expresan inquietud por el acceso no intencional a la red
  • Dado que el escaneo de puertos se asemeja a una actividad maliciosa, se han planteado dudas sobre la confiabilidad del sitio
  • Algunos señalan que la polémica crece aún más por haberse producido en un sitio oficial del gobierno de EE. UU.

Problemas de seguridad y privacidad

  • La exploración de puertos de red realizada sin autorización del usuario podría implicar una intrusión excesiva en sus derechos
  • Es necesario debatir la eficacia técnica real de este método para mejorar la seguridad
  • También se cuestiona la falta de lineamientos relacionados y la insuficiencia de procedimientos de consentimiento para los usuarios

Conclusión e implicaciones

Este caso sugiere que, a medida que los sitios web de instituciones públicas adoptan nuevas técnicas con fines de seguridad, es necesario buscar un equilibrio entre la protección de la privacidad y la seguridad técnica. También pone de relieve que brindar información clara a los usuarios y garantizar la transparencia será una tarea importante en adelante.

1 comentarios

 
GN⁺ 2025-08-21
Comentario de Hacker News
  • En el proceso de solicitud de visa hay estafas de todo tipo. Desde sitios que simplemente cobran el doble, hasta sitios que engañan al solicitante diciéndole que fue rechazado y le fabrican documentos falsos a su nombre. Por eso, parece que el sistema de visas intenta verificar si el usuario es una persona real o un estafador que usa un servidor intermediario o un canal C2
    • Para un sitio verdaderamente terrible, esa defensa es un enfoque bastante inteligente. Mi pareja es ciudadana turca y recientemente solicitó una visa; después de completar todo con mucho cuidado durante más de 30 minutos, la sesión expiró y se perdió todo. Si no habías creado una cuenta o anotado el ID actual de la solicitud, no había forma de recuperarlo. En el proceso incluso nos redirigieron a sitios sospechosos que no eran .gov; al principio pensé que era una estafa, pero en realidad no lo era. Se entiende que aparezcan servicios de pago que intentan hacer este proceso de pesadilla un poco más fácil. La recepción de documentos relacionados la maneja en su mayoría VFS Global, pero esta empresa también tiene muchos problemas, así que en la práctica solo actúa como intermediaria sin brindar ayuda real. Recientemente la UE simplificó el procedimiento de solicitud de visa Schengen para ciudadanos turcos, y la razón fue que las agencias oficiales de visas estaban cometiendo fraude al revender en el mercado negro las reservas de los “buenos horarios”. Tanto en EE. UU. como en la UE, los largos tiempos de espera hacen que con frecuencia se pierdan oportunidades valiosas, como becas. Si a eso se le suman problemas pequeños pero complejos, como la conversión de caracteres o el encoding, parece que podría haber una oportunidad en este mercado si apareciera algo como un agente de IA que realmente ayude
    • El sistema de visas de India es parecido. El sitio oficial .gov.in es difícil de encontrar, y la visa se obtiene fácilmente por unos 10 dólares. Los sitios fraudulentos que solo son buenos en SEO venden exactamente lo mismo por 80 dólares, reenviando la solicitud real al sitio oficial y quedándose con la diferencia. Sería bueno que el gobierno de India bloqueara a estos estafadores, pero no parece ser una prioridad inmediata
    • No estoy familiarizado con redes, pero me intriga cómo se puede detectar que alguien es un estafador mediante un escaneo de puertos
    • No logro imaginar cómo eso sería realmente posible. Si este tipo de “escaneo” se ejecuta con JavaScript del lado del cliente, no parece que enviar archivos a través de un servidor proxy permita detectar algo sobre ese proxy
  • Esta función proviene de un script de F5, y F5 es una empresa que vende soluciones de seguridad anti-bot. (Se carga un script ofuscado desde una ruta como /TSPD, y eso es un elemento característico de F5)
    https://www.f5.com/
    • TS parece significar TrafficShield, una empresa que F5 adquirió hace tiempo, y PD probablemente significa Proactive Defense
  • Recién me enteré de que uBlock Origin tiene una lista predeterminada llamada "Block Outsider Intrusion into LAN". Es información realmente útil
    • Al revisar la solicitud de funcionalidad en github, me surgió la duda de por qué sería necesario algo así. No tengo claro por qué el navegador ofrece, o debería ofrecer, acceso real a la red local. Sí recuerdo haber visto algunas solicitudes de este tipo al conectarse a cosas asociadas a sockets, como tráfico mDNS, así que la posibilidad me vino a la mente
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • Me parece impactante que este tipo de acceso esté permitido. Me pregunto cómo fue posible la idea de permitir que cualquier sitio web que visites pueda acceder a tu red local
    • Como en uBlock Origin cada vez se están quitando más funciones de js, me pregunto si esto también está disponible en la versión lite
    • Al activar esta opción, mi nivel de seguridad mejoró muchísimo. Gracias a todos
    • Yo tampoco sabía que existía esta función, pero ya estaba activada en mi laptop y en el navegador móvil
  • No entiendo cómo el navegador permite algo así, ni por qué no pide consentimiento al usuario como con el acceso al micrófono. Que un sitio web cualquiera pueda hacer escaneo de puertos en mi LAN es demasiado peligroso para que resulte aceptable. En lugar de tratarlo como una “función”, ¿no debería considerarse una vulnerabilidad de seguridad?
    • En Chrome este acceso no está permitido. Para que un servicio de red local sea accesible desde un sitio externo se requiere opt-in(
      https://github.com/WICG/private-network-access
      ), y se está migrando a un esquema basado en consentimiento del usuario(
      https://github.com/WICG/local-network-access
      ). Hay debate sobre si PNA realmente se desplegó, pero yo lo experimenté personalmente hace años en Chrome stable, así que no tengo clara la situación exacta actual. Firefox no soporta este acceso. Supongo que es por falta de recursos de desarrollo
  • Yo uso uMatrix, y por defecto bloquea todas las conexiones salvo las del sitio solicitado y su dominio superior. Por ejemplo, si visitas mail.yahoo.com, tienes que permitir manualmente cosas como yimg.com, así que este tipo de escaneo de puertos/perfilado no funciona. Al principio era demasiado incómodo, pero después de varios meses ampliando la whitelist, ya cubre el 90% de los sitios que visito. En mi sistema, ceac.state.gov/genniv/ intenta conectarse a captcha.com, Google Analytics, Tag Manager, 127.0.0.1 y "burp" (un hostname local que no existe en mi red). Curiosamente, en la consola del navegador no se ven bien los intentos hacia localhost o burp. Después de permitir 127.0.0.1, al mirar con tcpdump apareció tráfico que intentaba conectarse al puerto 8888 (ese puerto no estaba abierto)
    • Me pregunto si uMatrix también bloquea el pixel de tracking de Facebook o su sustituto reciente, Conversions API Gateway. Conversions API Gateway se aloja en forma de contenedor bajo tu propio dominio —incluso el dominio principal— y envía los datos del usuario a Facebook desde el servidor. Basta con insertar JS para que se envíen todos los datos
    • uMatrix está archivado actualmente (sin soporte), y ahora se recomienda usar uBlockOrigin con la configuración avanzada activada (esa estructura absorbió las funciones de uMatrix). Si quieres bloquear con más fuerza, también se recomienda configurarlo en hard mode y usar atajos para cambiar al modo relax blocking. También conviene usar listas de filtros, especialmente yokoffing/filterlists y las listas regionales/por idioma
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Parece que la intención es comprobar si Burp Suite está conectado a la aplicación web
    • Me pregunto cómo ocultan en la pestaña de red las solicitudes hacia 127.0.0.1
    • burp en realidad es Burp Suite, mencionado también en
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      . Parece que intentan dificultar el análisis del sitio
  • Algunas extensiones exigen el permiso de “acceder a los datos de todos los sitios”. A menos que sea una empresa famosa o un desarrollador confiable, no entiendo cómo alguien puede conceder ese permiso. En particular, una extensión llamada "Hacks and Hops" usa como página principal el dominio inexistente
    https://g666gle.me/
    . Nunca instalaría una extensión así, por muy atractiva que parezca
    • Este fenómeno contradictorio es casi universal en foros como HN. Uno piensa que la gente que instala estas extensiones está loca. Muchísimos consumidores están tan obsesionados con la fantasía de que se puede “instalar privacidad” que terminan descargando rootkits disfrazados de VPN o extensiones aleatorias. Si instalaste una extensión fraudulenta, la medida mínima sería prácticamente quemar la PC, pasarle un auto por encima, abrir de nuevo todas las cuentas y volver a crear todas las contraseñas desde un dispositivo completamente nuevo
  • Este tipo de escaneo de puertos, device fingerprinting y anti-anonymity SAAS ocurre en muchos sitios. Ebay y Facebook también lo hacen. Pero en este caso el objetivo principal parece ser bloquear el bloqueo de anuncios. Se usa un fingerprinting ofuscado de 1 MB, además de escaneo de puertos y WebGL. De forma curiosa, también hay intentos de encontrar rutas de burp suite
    • Me pregunto cómo podría endurecer la seguridad de mi red frente a este tipo de ataques
    • Yo experimenté exactamente el mismo método de escaneo de puertos en un sitio web para registrar una tarjeta nueva
  • Este “escaneo de puertos” en esta ocasión fue más bien un intento de conexión local a 127.0.0.1:8888. No sé con exactitud para qué sirve, pero en sitios web gubernamentales a veces se usa este método para comunicarse con software nativo de firma electrónica de documentos. Me pregunto si también intentan conectarse a otras IP
    • Esto también puede deberse a lectores de tarjetas, servidores de depuración o incluso a un error del desarrollador. En mi experiencia, a veces se despliega software que trae baked-in una URL apuntando a localhost en vez de a un host externo, porque así estaba en el entorno de desarrollo. También podrían usar el puerto 8888 para un servidor local de desarrollo; no sería tan sorprendente
    • Es bastante probable que esto sea un intento de conexión con fines de recolección de datos o tracking, en caso de que exista un servidor web en el dispositivo del usuario (local). Hace tiempo también se reveló que Facebook/meta rastreaba de forma similar en Android (tracking hacia un servidor web mediante Messenger/Instagram). Ver abajo
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • En una situación como esta, quizá sea incluso normal que un sitio web intente conectarse a puertos locales como los de un lector de tarjetas. En algunos o la mayoría de los países de la UE, se usa el chip de la tarjeta de identidad o de la tarjeta de registro del vehículo para autenticación y trámites administrativos. Antes solo era compatible con Java+Internet Explorer, pero desde que IE dejó de existir y se pasó a Chromium, no sé bien cómo funciona, así que no lo he usado recientemente
    • Hoy en día hay que instalar un servicio local que hace de puente entre el navegador y el driver de la smart card. Ese servicio puente cumple el papel que antes hacía el applet de Java. El driver específico de la tarjeta y el servicio puente se instalan juntos
    • En una ocasión me pidieron leer el chip NFC del pasaporte con una app para iPhone/Android. Supongo que ese es el reemplazo moderno de IE/Java
  • Casi me da vergüenza no haber sabido de esta práctica. Me pregunto si, además del fingerprinting, hay otros fines de abuso posibles
    • De hecho, Facebook ya usó este método en Android. Las apps de Android de Meta levantaban un servidor en localhost e intercambiaban, a través de ese servidor local, información de tracking que el navegador bloqueaba por protección. Técnicamente es fingerprinting, pero podría decirse que es su uso más extremo
      https://news.ycombinator.com/item?id=44169115
    • Podría haber routers con URLs vulnerables. Si buscas “router authentication bypass”, aparecen casos
    • En la consola de Safari de macOS, al visitar un sitio se detectó algo como esto
      https://files.catbox.moe/g1bejn.png
      . Me pregunto específicamente qué servicio usa el puerto 8888
    • Se usa principalmente con fines de tracking, pero si el usuario está ejecutando un servicio sensible en localhost, también podría explotarse para exfiltrar datos
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe