All Posts
inyeccion SQL ejemploauditoria seguridad e-commerceciberseguridad Guatemaladivulgacion responsable

Como Hackeamos la Plataforma de E-Commerce mas Grande de Guatemala (y la Arreglamos)

Juan Pablo Mora 7 min read
EN ES

Cómo Hackeamos la Plataforma de E-Commerce más Grande de Guatemala (y la Arreglamos)

TL;DR: Encontré vulnerabilidades críticas de seguridad en guatemaladigital.com, el mayor retailer en línea de Guatemala, mientras navegaba su sitio por casualidad. 25 minutos de inspección se convirtieron en una auditoría externa completa. Cualquier empresa que corra software personalizado, integraciones o código interno tiene la misma exposición. Así es como se ve una base de seguridad real.

Solo Estaba Navegando

No estaba buscando una vulnerabilidad. Estaba en guatemaladigital.com, una de las plataformas de e-commerce más grandes de Centroamérica, con operaciones en Guatemala, El Salvador, Honduras y Costa Rica, revisando algo rutinario.

Una función de búsqueda de compras me llamó la atención. Permitía buscar órdenes ingresando nombre y apellido. Cualquier nombre. Para cualquier cliente. Esa decisión de diseño ya valía la pena explorar.

Cuando mi búsqueda devolvió un resultado, se disparó una segunda petición en segundo plano con un ID de cliente y varios parámetros adicionales. Abrí el inspector de red. Veinticinco minutos después, tenía un dump completo de la base de datos.

Lo que Encontré

La plataforma corría en PHP personalizado con algunas secciones migradas recientemente a Next.js. Múltiples endpoints eran inyectables mediante SQL injection basada en errores, ciega y por unión. Ninguno tenía rate limiting. Hice cientos de peticiones secuenciales sin un solo bloqueo.

La base de datos contenía aproximadamente 10 años de registros:

  • Nombres completos, direcciones e historial de compras de clientes
  • Datos de métodos de pago
  • Contraseñas en texto plano, sin hash
  • Registros de pagos a accionistas

La exposición fue más allá de la base de datos. Dentro de ella encontré:

  • Tokens de API de Slack usados para alertas internas, válidos y sin control de acceso
  • URLs de buckets S3 que permitían subir archivos sin autenticación
  • Escaneos en PDF de documentos de la empresa: identificación del fundador, patentes y documentos legales

Nada estaba cifrado. Todo era accesible a través de URLs públicas directas almacenadas en la base de datos.

La Divulgación

Contacté al CEO Mario Porres (linkedin.com/in/mariorenegt) por LinkedIn. El escaneo de su DPI estaba entre los archivos que había recuperado.

Tardé dos días completos en recibir una respuesta significativa. La primera réplica vino de un contacto de TI de bajo nivel. Fue solo después de enviarle al CEO su propio documento de identidad que la conversación llegó directamente a él y avanzó con rapidez.

Ese período de 48 horas importa. Una notificación externa de brecha confirmada estuvo sin atender durante dos días, no por mala fe, sino porque no existía ningún protocolo de escalamiento para reportes de seguridad externos.

La Remediación

Trabajamos directamente con el equipo de software interno de guatemaladigital.com para definir y corregir las vulnerabilidades. El trabajo cubrió:

  • Aplicación de consultas parametrizadas en todos los endpoints vulnerables
  • Rate limiting y detección de anomalías en rutas sensibles de la API
  • Re-hash de contraseñas y restablecimiento forzado de credenciales
  • Corrección de políticas de acceso en buckets S3
  • Rotación de tokens de Slack y gestión adecuada de secretos
  • Revisión completa de la superficie de ataque de la API con recomendaciones adicionales

PHP, Código Personalizado y de Dónde Vienen Realmente las Brechas

La plataforma de GuatemalaDigital fue construida en PHP, con Next.js añadido encima para las secciones más nuevas. Esa combinación es común en toda Centroamérica y en gran parte de la web.

PHP impulsa aproximadamente el 77% de todos los sitios web con un lenguaje del lado del servidor conocido. También representa una proporción desproporcionada de los incidentes de SQL injection en reportes de brechas año tras año, incluyendo el DBIR de Verizon y los hallazgos anuales de HackerOne. La razón no es que PHP sea inherentemente defectuoso. La razón es que sus permisos por defecto, combinados con años de tutoriales que enseñaron interpolación directa de cadenas en consultas SQL como práctica estándar, produjeron una enorme cantidad de código legado donde la validación de entradas nunca fue integrada.

Agregar un frontend moderno en JavaScript encima no cambia lo que hace la capa de API detrás. Una interfaz en Next.js que hace peticiones a endpoints PHP no saneados tiene la misma exposición que una página PHP de 2008. La superficie de ataque es idéntica.

El Producto Prefabricado No es el Problema. Las Malas Integraciones Sí.

WordPress, Odoo, Shopify, Magento: estas plataformas tienen equipos de seguridad dedicados, programas de CVE, ciclos rápidos de parches y años de endurecimiento. Una instalación de WordPress limpia en 2026 no es donde empiezan la mayoría de las brechas.

Las brechas empiezan en el módulo PHP personalizado que alguien escribió para sincronizar órdenes con un sistema interno. En el endpoint de búsqueda añadido seis meses después del lanzamiento para responder a una necesidad del negocio. En el script de integración que consulta la base de datos directamente porque "solo necesitaba funcionar" y que generalmente fue escrito por alguien que ya no está en la empresa, lo cual es exactamente el problema del punto único de falla que hace riesgoso el desarrollo interno para empresas no-tech.

La seguridad es una cadena. Un solo parámetro no saneado rompe todo lo que está detrás, independientemente de qué tan sólida era la plataforma base.

Reconstruimos la plataforma de Attentti específicamente porque su stack de WordPress con integraciones personalizadas había crecido hasta convertirse en el mismo tipo de base de código imposible de rastrear y auditar. Las vulnerabilidades no estaban en WordPress. Estaban en todo lo que se agregó encima.

Este es el patrón que vemos en toda la región. Una empresa empieza en una plataforma reconocida, crece, añade funcionalidad personalizada bajo presión de fechas, nunca audita lo que se agregó, y termina con una base de datos de clientes de diez años saliendo por la puerta en 25 minutos.

El Contexto en Guatemala

Guatemala no opera en un entorno de baja amenaza. En la primera mitad de 2025, el país enfrentó más de 214 millones de intentos de ciberataque (Fortinet 2025 Global Threat Report). El ransomware golpeó al Ministerio de Finanzas y al Ministerio de Educación. Una revisión conjunta de seguridad entre EE.UU. y Guatemala en abril de 2025 identificó a APT-15, un grupo de amenaza vinculado al estado chino, activo dentro de sistemas gubernamentales guatemaltecos. Credenciales de más de 30 instituciones estatales guatemaltecas fueron encontradas a la venta en mercados de cibercrimen ese mismo año.

Las empresas privadas que manejan grandes volúmenes de datos de clientes están dentro de ese mismo panorama de amenazas. Una plataforma del tamaño de guatemaladigital.com, con 2.79 millones de visitas mensuales y registros de clientes que abarcan una década, es un objetivo atractivo independientemente de si el atacante es un estado-nación o un script de SQL injection freelance.

La Exposición Legal

Guatemala aún no tiene una ley integral de protección de datos. El Proyecto de Ley de Ciberseguridad 6347 fue introducido a mediados de 2025. Esa brecha no elimina la responsabilidad. La traslada a exposición civil, daños comerciales y el costo reputacional de que una brecha se haga pública sin ningún relato formal de remediación adjunto.

El Salvador y Honduras observan de cerca la trayectoria legislativa en Guatemala. Las empresas que operan en toda Centroamérica deberían estar construyendo su postura de cumplimiento ahora, antes de que los marcos lleguen y los requisitos retroactivos se conviertan en el problema. Las empresas que evalúan cómo se ve un socio de software adecuado deberían preguntar sobre postura de seguridad antes de preguntar sobre cronogramas.

Cómo se Ve una Base de Seguridad Real

Cada vulnerabilidad encontrada en guatemaladigital.com es prevenible a nivel de arquitectura, antes de que se envíe una sola línea de código personalizado. Las soluciones no son exóticas.

Consultas parametrizadas como estándar no negociable: el tipo integrado en el ORM de Django a nivel de framework, no añadido después. Gestión de secretos para que tokens, claves y credenciales nunca entren a la base de datos. Control de acceso aplicado en la capa de API en cada endpoint. Rate limiting y detección de anomalías antes de que las peticiones lleguen a persistencia. Análisis de dependencias y análisis estático en cada despliegue.

Esta es la base que construimos en cada proyecto en Nimble desde el primer día, no como una lista de verificación de cumplimiento sino como un prerequisito para enviar código.

Divulgación Responsable

Este artículo se publica con el conocimiento y cooperación de guatemaladigital.com. Todas las vulnerabilidades han sido parcheadas. Ningún dato de clientes fue retenido, compartido o utilizado más allá de demostrar la vulnerabilidad a la empresa. La divulgación siguió principios de divulgación responsable en todo momento.