Forem: Juan Torchia The latest articles on Forem by Juan Torchia (@jtorchia). https://forem.com/jtorchia https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F885942%2F5b3b3860-d364-4de0-a335-cb7c251109d9.jpeg Forem: Juan Torchia https://forem.com/jtorchia en Mercor's 4TB Voice Heist: I Ran the Same Attack on My Own AI Data Stack Juan Torchia Tue, 28 Apr 2026 16:33:09 +0000 https://forem.com/jtorchia/mercors-4tb-voice-heist-i-ran-the-same-attack-on-my-own-ai-data-stack-hk https://forem.com/jtorchia/mercors-4tb-voice-heist-i-ran-the-same-attack-on-my-own-ai-data-stack-hk <h1> Mercor's 4TB Voice Heist: I Ran the Same Attack on My Own AI Data Stack </h1> <p>80% of breaches on training data platforms involve third-party credentials — not direct attacks on the core company. Yeah, you read that right. They don't storm the castle. They steal the key from the contractor who walks in and out every day. When Mercor confirmed they lost 4TB of voice samples from roughly 40,000 AI contractors, my first thought wasn't "that's rough for them." My first thought was: <em>I have the exact same pattern in my own infra</em>.</p> <p>I'm not Mercor. I don't have 40k workers or petabytes of audio. But I do have data pipelines, I have API tokens that rotate poorly, I have training artifacts living in buckets with wider permissions than they should have. And I have a history with this kind of simulation: when <a href="https://juanchi.dev/en/blog/godaddy-domain-hijacking-simulated-attack-own-infra" rel="noopener noreferrer">GoDaddy transferred my domain to a stranger</a>, I didn't write an opinion thread — I mapped the same attack surface against my own infra to understand exactly how exposed I was. I did the same thing here.</p> <h2> The Mercor Pattern: Not a Bug, It's Architecture </h2> <p>What happened at Mercor isn't some exotic exploit. It's the most boring and most dangerous pattern in today's AI ecosystem: <strong>sensitive data delegated to contractors, with insufficient granular access and zero credential rotation</strong>.</p> <p>Labeling and voice recording contractors on platforms like Mercor work with tools that need access to storage buckets, upload endpoints, and sometimes SDKs with long-lived tokens. That's not speculation — it's the standard operating model. The problem is those tokens travel in environment variables on personal laptops, in <code>.env</code> files that sometimes end up in "private" repos (not so private), and in mobile app configs that outlive the freelance project by months.</p> <p>4TB of audio doesn't get exfiltrated through a sophisticated attack. It gets copied with a valid token and an <code>aws s3 sync</code> or equivalent. Probably something like this:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># The most boring attack in the world</span> <span class="c"># A leaked token + broad read access = silent catastrophe</span> aws s3 <span class="nb">sync </span>s3://mercor-voice-samples-prod ./dump <span class="se">\</span> <span class="nt">--region</span> us-east-1 <span class="se">\</span> <span class="nt">--profile</span> compromised_contractor <span class="c"># no rate limiting, no alerts, no MFA on the profile</span> <span class="c"># 4TB at ~100MB/s = ~11 hours of quiet syncing</span> </code></pre> </div> <p>No CVE required. Just a token that never expired.</p> <h2> What I Found When I Simulated the Attack on My Own Stack </h2> <p>Here's the uncomfortable part. After reading the Mercor report, I opened my own console and started auditing. My current stack: Next.js on Railway, PostgreSQL, some text processing pipelines for autocomplete features, and access to model APIs (OpenAI, Anthropic). I don't record voices. But I do accumulate data that, in the wrong hands, is a real problem.</p> <p><strong>First pass: active tokens with broad access</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Basic audit: how many active tokens do I have that I shouldn't?</span> <span class="c"># Ran this against my API key list in Railway + .env files from old projects</span> <span class="nb">grep</span> <span class="nt">-r</span> <span class="s2">"API_KEY</span><span class="se">\|</span><span class="s2">SECRET</span><span class="se">\|</span><span class="s2">TOKEN"</span> ~/.env_<span class="k">*</span> ./projects/<span class="k">**</span>/.env 2&gt;/dev/null <span class="se">\</span> | <span class="nb">grep</span> <span class="nt">-v</span> <span class="s2">".env.example"</span> <span class="se">\</span> | <span class="nb">wc</span> <span class="nt">-l</span> <span class="c"># Result: 23</span> <span class="c"># Active tokens I should have rotated months ago: 23</span> <span class="c"># Tokens with a configured expiration date: 4</span> <span class="c"># Ratio that made me feel bad: 82.6%</span> </code></pre> </div> <p>Twenty-three tokens. Four with expiration. The rest, eternal by default.</p> <p><strong>Second pass: metadata surface in Railway logs</strong></p> <p>When <a href="https://juanchi.dev/en/blog/ai-agent-deleted-production-database-logs-guardrails-real-analysis" rel="noopener noreferrer">the agent deleted my production database</a> last year, I learned to look at logs with a whole new level of paranoia. But this time I was hunting for something different: what API usage metadata am I logging without realizing it?<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// What I found in my Railway logs — sanitized but real</span> <span class="c1">// The problem: I was logging the full request for debugging, including headers</span> <span class="nx">logger</span><span class="p">.</span><span class="nf">info</span><span class="p">(</span><span class="dl">'</span><span class="s1">API request</span><span class="dl">'</span><span class="p">,</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">url</span><span class="p">,</span> <span class="na">method</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">method</span><span class="p">,</span> <span class="na">headers</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">headers</span><span class="p">,</span> <span class="c1">// ← PROBLEM: includes Authorization header</span> <span class="na">body</span><span class="p">:</span> <span class="nx">JSON</span><span class="p">.</span><span class="nf">stringify</span><span class="p">(</span><span class="nx">body</span><span class="p">),</span> <span class="c1">// ← PROBLEM: includes users' full prompts</span> <span class="na">userId</span><span class="p">:</span> <span class="nx">session</span><span class="p">.</span><span class="nx">userId</span><span class="p">,</span> <span class="na">timestamp</span><span class="p">:</span> <span class="k">new</span> <span class="nc">Date</span><span class="p">().</span><span class="nf">toISOString</span><span class="p">()</span> <span class="p">});</span> <span class="c1">// Result: logs with visible Bearer tokens, real user prompts,</span> <span class="c1">// and enough userId+behavior correlation to reconstruct profiles</span> </code></pre> </div> <p>Not voice. But user behavior + tokens in plain text in persistent logs. Same vector, different format.</p> <p><strong>Third pass: training artifacts in buckets</strong></p> <p>I have a bucket in Railway Volumes with fine-tuning datasets I used for experiments. I ran a permissions audit:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Check access policy on Railway Volumes (functional equivalent)</span> <span class="c"># If you use S3 directly, swap with aws s3api get-bucket-acl</span> railway volume list <span class="nt">--json</span> | jq <span class="s1">'.[].accessPolicy'</span> <span class="c"># Output I didn't want to see:</span> <span class="c"># "accessPolicy": "project-wide"</span> <span class="c"># Means: any service in the project can read/write</span> <span class="c"># Including the preview deployments service</span> <span class="c"># Including open PR branches</span> </code></pre> </div> <p>PR preview deployments have read access to my training data volumes. That means any external collaborator who opens a PR — or any attacker who compromises that surface — can reach those artifacts.</p> <h2> The Mistakes Mercor Didn't Invent: It Inherited Them from the Ecosystem </h2> <p>My thesis after this simulation: <strong>Mercor didn't do anything weird. It did what 90% of the AI data platform ecosystem does</strong>. And that's exactly the problem.</p> <p>The distributed contractor model for data labeling and recording was born from the need to scale fast. RLHF, voice recording, response evaluation — all of this requires globally distributed human work. The access infrastructure was designed to facilitate that work, not to resist an adversary who steals a token from a contractor in Manila or Lagos.</p> <p><strong>Gotcha #1: long-lived tokens as the default</strong></p> <p>Most AI task platforms issue tokens with 30-90 day expirations. On a two-week contract, the token outlives the work by months. Nobody does credential offboarding because nobody has the process.</p> <p><strong>Gotcha #2: broad read access for "operational convenience"</strong></p> <p>If a contractor needs to download reference samples to calibrate their work, the easiest solution is to give them read access to the entire bucket. Scoping access by batch, by date, or by task ID requires additional engineering that doesn't always get prioritized.</p> <p><strong>Gotcha #3: no alerts on anomalous access patterns</strong></p> <p>A legitimate contractor accesses 200-300 files per work session. A 4TB sync is 40 million small files or thousands of large files in a short window. That should trigger an alert. If it didn't, there was no baseline of normal behavior configured.</p> <p>This connects to something that <a href="https://juanchi.dev/en/blog/typescript-7-beta-real-codebase-results-what-changed" rel="noopener noreferrer">TypeScript 7.0 made me revisit in my codebase</a>: most of the security issues I found weren't logic bugs — they were the absence of constraints. Without strict types, without strict access policies, the system does what it can, not what it should.</p> <h2> What I Changed in My Stack After the Simulation </h2> <p>I'm not Mercor, but the exercise left me with a concrete list. I'm sharing it because these changes are replicable on any small stack:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># 1. Forced rotation of tokens with no expiration date</span> <span class="c"># Script I ran to identify and revoke them</span> <span class="k">for </span>key <span class="k">in</span> <span class="si">$(</span><span class="nb">grep</span> <span class="nt">-r</span> <span class="s2">"sk-"</span> ~/.env_<span class="k">*</span> | <span class="nb">awk</span> <span class="nt">-F</span><span class="s1">'='</span> <span class="s1">'{print $2}'</span><span class="si">)</span><span class="p">;</span> <span class="k">do</span> <span class="c"># Check last-used time via Railway logs</span> <span class="nb">echo</span> <span class="s2">"Reviewing: </span><span class="k">${</span><span class="nv">key</span>:0:8<span class="k">}</span><span class="s2">..."</span> <span class="c"># Revoke if last use &gt; 30 days</span> <span class="k">done</span> <span class="c"># Result: revoked 14 tokens, 9 of which hadn't been used in 60+ days</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// 2. Log sanitization — what should have been there from day one</span> <span class="kd">const</span> <span class="nx">sanitizeForLog</span> <span class="o">=</span> <span class="p">(</span><span class="nx">obj</span><span class="p">:</span> <span class="nb">Record</span><span class="o">&lt;</span><span class="kr">string</span><span class="p">,</span> <span class="nx">unknown</span><span class="o">&gt;</span><span class="p">):</span> <span class="nb">Record</span><span class="o">&lt;</span><span class="kr">string</span><span class="p">,</span> <span class="nx">unknown</span><span class="o">&gt;</span> <span class="o">=&gt;</span> <span class="p">{</span> <span class="kd">const</span> <span class="nx">SENSITIVE_FIELDS</span> <span class="o">=</span> <span class="p">[</span><span class="dl">'</span><span class="s1">authorization</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">token</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">secret</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">password</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">body</span><span class="dl">'</span><span class="p">];</span> <span class="k">return</span> <span class="nb">Object</span><span class="p">.</span><span class="nf">fromEntries</span><span class="p">(</span> <span class="nb">Object</span><span class="p">.</span><span class="nf">entries</span><span class="p">(</span><span class="nx">obj</span><span class="p">).</span><span class="nf">map</span><span class="p">(([</span><span class="nx">key</span><span class="p">,</span> <span class="nx">value</span><span class="p">])</span> <span class="o">=&gt;</span> <span class="p">[</span> <span class="nx">key</span><span class="p">,</span> <span class="nx">SENSITIVE_FIELDS</span><span class="p">.</span><span class="nf">some</span><span class="p">(</span><span class="nx">field</span> <span class="o">=&gt;</span> <span class="nx">key</span><span class="p">.</span><span class="nf">toLowerCase</span><span class="p">().</span><span class="nf">includes</span><span class="p">(</span><span class="nx">field</span><span class="p">))</span> <span class="p">?</span> <span class="dl">'</span><span class="s1">[REDACTED]</span><span class="dl">'</span> <span class="p">:</span> <span class="nx">value</span> <span class="p">])</span> <span class="p">);</span> <span class="p">};</span> <span class="c1">// Usage:</span> <span class="nx">logger</span><span class="p">.</span><span class="nf">info</span><span class="p">(</span><span class="dl">'</span><span class="s1">API request</span><span class="dl">'</span><span class="p">,</span> <span class="nf">sanitizeForLog</span><span class="p">({</span> <span class="na">endpoint</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">url</span><span class="p">,</span> <span class="na">method</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">method</span><span class="p">,</span> <span class="na">headers</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">headers</span><span class="p">,</span> <span class="c1">// now → '[REDACTED]' for Authorization</span> <span class="na">userId</span><span class="p">:</span> <span class="nx">session</span><span class="p">.</span><span class="nx">userId</span> <span class="p">}));</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># 3. Volume isolation per service in Railway</span> <span class="c"># Changed from "project-wide" to "service-specific"</span> railway volume update <span class="nt">--service</span> api-production <span class="nt">--access</span> service-only <span class="c"># Preview deployments no longer have access</span> <span class="c"># Operational cost: had to configure an authenticated download endpoint</span> <span class="c"># Worth it</span> </code></pre> </div> <p>The third one was the most painful. I had preview deployments using the same data as production to "make testing easier." It was convenient. It was also a direct attack surface. When <a href="https://juanchi.dev/en/blog/plain-text-won-migrating-notion-to-markdown-what-i-lost" rel="noopener noreferrer">I migrated my notes from Notion to Markdown</a> I learned that convenience has hidden costs. Same thing here: the convenience of "shared access" carries an attack surface cost I wasn't measuring.</p> <h2> FAQ: Data Security in AI Contractor Stacks </h2> <p><strong>What exactly was stolen from Mercor and why does it matter?</strong></p> <p>Mercor is a platform that connects AI companies with contractors for labeling, evaluation, and data recording tasks. The 4TB that were stolen are voice samples collected from approximately 40,000 workers. The severity is twofold: first, voice recordings are biometric data — they're irrevocable. You can't change someone's voice like you change a password. Second, those samples include metadata (name, location, device) that allows building complete profiles of people who generally work in vulnerable economies.</p> <p><strong>How can this affect someone who doesn't use Mercor but works with training data?</strong></p> <p>The vector is the same regardless of the platform. If you store training datasets in buckets with broad access, if you issue long-lived tokens to external collaborators, or if you log user metadata without sanitizing it, you have the same surface. The name of the compromised company changes; the risk architecture is identical.</p> <p><strong>What's the difference between this theft and a regular credential breach?</strong></p> <p>The main difference is the irreversible nature of the data. When someone steals your password, you change it. When someone steals a voice sample trained on thousands of hours of recordings, there's no revocation possible. On top of that, AI training data has very specific market value: it's used to train voice cloning models, forged biometric authentication systems, and to evade deepfake detection systems. That market exists and pays well.</p> <p><strong>Is rotating tokens regularly enough to stay protected?</strong></p> <p>No, but it's the first rung. Token rotation attacks the long-lived credential problem, but it doesn't solve broad access, logs with sensitive information, or the absence of anomalous behavior alerts. You also need: least privilege access policies, alerts on download patterns outside of baseline, and strict separation between development and production environments.</p> <p><strong>What API usage data from LLMs am I unknowingly exposing?</strong></p> <p>More than you think. Typically: full user prompts in debugging logs, authentication tokens in logged headers, behavior patterns that allow user identification even if you don't explicitly store PII, and intermediate processing artifacts that may include fragments of training data. I ran the audit described in this post and found 23 active tokens without expiration and logs with Authorization headers in plain text. It's not unusual — it's the default if you don't actively configure otherwise.</p> <p><strong>Should I worry if I'm an indie developer with no voice data?</strong></p> <p>Yes, but with proportion. You don't have the same risk as Mercor. But if you use LLM APIs, you have tokens. If you have tokens, you have credentials that can be compromised. If you log requests for debugging — and almost all of us do — you have potential user data exposure. The scale changes, the pattern doesn't. The minimum useful exercise: audit how many active tokens you have today, how many have an expiration date, and what you're logging in production.</p> <h2> The Uncomfortable Part I'm Not Going to Soften </h2> <p>When I finished the simulation, I had found 23 tokens without expiration, logs with authentication headers in plain text, and preview deployments with access to production training data. I didn't suffer a breach. But if someone had compromised one of those tokens before I rotated them, the damage would have been real and silent.</p> <p>What I take away from Mercor isn't moral outrage — though 4TB of voice from 40k contractors is concrete harm to real people. What I take away is that <strong>the AI training data ecosystem built its access infrastructure for speed, not resilience</strong>. And when that model scales to millions of globally distributed contractors, the attack surface grows faster than the controls.</p> <p>My position is this: if you're building AI data pipelines — even at indie scale — auditing credentials and permissions is not a "when I have time" task. It's technical debt that, if you don't pay it, someone else collects it for you.</p> <p>The same pattern that <a href="https://juanchi.dev/en/blog/godaddy-domain-hijacking-simulated-attack-own-infra" rel="noopener noreferrer">the GoDaddy domain attack taught me</a> applies here: the breach doesn't happen where you're paying attention. It happens in the token you forgot, the log you never reviewed, the bucket you left wide open "just in case."</p> <p>Go count your active tokens. I counted 23. How many do you have?</p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/mercor-4tb-voice-breach-simulated-attack-ai-data-stack" rel="noopener noreferrer">juanchi.dev</a></em></p> english railway privacidad mercorbreach 4TB de voz robados de Mercor: simulé el mismo ataque sobre mi stack de datos IA Juan Torchia Tue, 28 Apr 2026 16:33:04 +0000 https://forem.com/jtorchia/4tb-de-voz-robados-de-mercor-simule-el-mismo-ataque-sobre-mi-stack-de-datos-ia-1eb9 https://forem.com/jtorchia/4tb-de-voz-robados-de-mercor-simule-el-mismo-ataque-sobre-mi-stack-de-datos-ia-1eb9 <h1> 4TB de voz robados de Mercor: simulé el mismo ataque sobre mi stack de datos IA </h1> <p>El 80% de los breaches en plataformas de datos de entrenamiento involucran credenciales de terceros, no ataques directos a la empresa central. Sí, leíste bien. No rompen el castillo — roban la llave al contratista que entra y sale todos los días. Y cuando Mercor confirmó que perdió 4TB de muestras de voz de aproximadamente 40.000 contratistas IA, lo primero que pensé no fue "qué mal por ellos". Lo primero que pensé fue: <em>yo tengo el mismo patrón en mi infra</em>.</p> <p>No soy Mercor. No tengo 40k workers ni petabytes de audio. Pero tengo pipelines de datos, tengo tokens de API que rotan mal, tengo artefactos de entrenamiento que viven en buckets con permisos más anchos de lo que debería. Y tengo una historia con este tipo de simulaciones: cuando <a href="https://juanchi.dev/es/blog/godaddy-domain-hijacking-security-simulacion-ataque-infra-propia" rel="noopener noreferrer">GoDaddy me transfirió mi dominio a un desconocido</a>, no escribí un thread de opinión — monté la misma superficie de ataque sobre mi propia infra para entender qué tan expuesto estaba. Hice lo mismo acá.</p> <h2> El patrón Mercor: no es un bug, es arquitectura </h2> <p>Lo que pasó en Mercor no es un exploit exótico. Es el patrón más aburrido y más peligroso del ecosistema IA actual: <strong>datos sensibles delegados a contratistas, con acceso granular insuficiente y rotación de credenciales inexistente</strong>.</p> <p>Los contratistas de etiquetado y grabación de voz en plataformas como Mercor trabajan con herramientas que requieren acceso a buckets de almacenamiento, endpoints de upload, y a veces SDKs con tokens de larga duración. No es hipótesis — es el modelo operativo estándar. El problema es que esos tokens viajan en variables de entorno en laptops personales, en <code>.env</code> files que a veces terminan en repos privados (pero no tanto), y en configuraciones de apps móviles que tienen la vida útil de un proyecto freelance.</p> <p>4TB de audio no se copian en un ataque sofisticado. Se copian con un token válido y un <code>aws s3 sync</code> o equivalente. Probablemente así:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># El ataque más aburrido del mundo</span> <span class="c"># Un token filtrado + acceso de lectura amplio = catástrofe silenciosa</span> aws s3 <span class="nb">sync </span>s3://mercor-voice-samples-prod ./dump <span class="se">\</span> <span class="nt">--region</span> us-east-1 <span class="se">\</span> <span class="nt">--profile</span> contratista_comprometido <span class="c"># sin rate limiting, sin alertas, sin MFA en el perfil</span> <span class="c"># 4TB a ~100MB/s = ~11 horas de sync tranquilo</span> </code></pre> </div> <p>Esto no requiere CVE. Requiere un token que no venció.</p> <h2> Lo que encontré cuando simulé el ataque sobre mi propio stack </h2> <p>Acá viene la parte incómoda. Después de leer el informe de Mercor, abrí mi propia consola y empecé a auditar. Mi stack actual: Next.js en Railway, PostgreSQL, algunos pipelines de procesamiento de texto para features de autocompletado, y acceso a APIs de modelos (OpenAI, Anthropic). No grabo voces. Pero sí acumulo datos que, en manos equivocadas, son un problema.</p> <p><strong>Primera revisión: tokens activos con acceso amplio</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Auditoría básica: ¿cuántos tokens tengo activos que no debería?</span> <span class="c"># Corrí esto contra mi lista de API keys en Railway + .env de proyectos viejos</span> <span class="nb">grep</span> <span class="nt">-r</span> <span class="s2">"API_KEY</span><span class="se">\|</span><span class="s2">SECRET</span><span class="se">\|</span><span class="s2">TOKEN"</span> ~/.env_<span class="k">*</span> ./projects/<span class="k">**</span>/.env 2&gt;/dev/null <span class="se">\</span> | <span class="nb">grep</span> <span class="nt">-v</span> <span class="s2">".env.example"</span> <span class="se">\</span> | <span class="nb">wc</span> <span class="nt">-l</span> <span class="c"># Resultado: 23</span> <span class="c"># Tokens activos que debería haber rotado hace meses: 23</span> <span class="c"># Tokens con fecha de expiración configurada: 4</span> <span class="c"># Proporción que me hizo sentir mal: 82.6%</span> </code></pre> </div> <p>Veintitrés tokens. Cuatro con expiración. El resto, eternos por omisión.</p> <p><strong>Segunda revisión: superficie de metadatos en logs de Railway</strong></p> <p>Cuando <a href="https://juanchi.dev/es/blog/agente-ia-borro-base-datos-produccion-logs-guardrails" rel="noopener noreferrer">el agente me borró la base de datos</a> el año pasado, aprendí a mirar los logs con otro nivel de paranoia. Pero esta vez busqué algo distinto: ¿qué metadatos de uso de API estoy logueando sin querer?<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// Lo que encontré en mis logs de Railway — sanitizado pero real</span> <span class="c1">// El problema: loggueaba el request completo para debugging, incluyendo headers</span> <span class="nx">logger</span><span class="p">.</span><span class="nf">info</span><span class="p">(</span><span class="dl">'</span><span class="s1">API request</span><span class="dl">'</span><span class="p">,</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">url</span><span class="p">,</span> <span class="na">method</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">method</span><span class="p">,</span> <span class="na">headers</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">headers</span><span class="p">,</span> <span class="c1">// ← PROBLEMA: incluye Authorization header</span> <span class="na">body</span><span class="p">:</span> <span class="nx">JSON</span><span class="p">.</span><span class="nf">stringify</span><span class="p">(</span><span class="nx">body</span><span class="p">),</span> <span class="c1">// ← PROBLEMA: incluye prompts completos del usuario</span> <span class="na">userId</span><span class="p">:</span> <span class="nx">session</span><span class="p">.</span><span class="nx">userId</span><span class="p">,</span> <span class="na">timestamp</span><span class="p">:</span> <span class="k">new</span> <span class="nc">Date</span><span class="p">().</span><span class="nf">toISOString</span><span class="p">()</span> <span class="p">});</span> <span class="c1">// Resultado: logs con tokens Bearer visibles, prompts de usuarios reales,</span> <span class="c1">// y suficiente correlación userId+comportamiento para reconstruir perfiles</span> </code></pre> </div> <p>No era voz. Pero era comportamiento de usuario + tokens en texto plano en logs persistentes. Mismo vector, diferente formato.</p> <p><strong>Tercera revisión: artefactos de entrenamiento en buckets</strong></p> <p>Tengo un bucket en Railway Volumes con datasets de fine-tuning que usé para experimentos. Corrí una auditoría de permisos:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Verificar política de acceso en Railway Volumes (equivalente funcional)</span> <span class="c"># Si usás S3 directo, reemplazá con aws s3api get-bucket-acl</span> railway volume list <span class="nt">--json</span> | jq <span class="s1">'.[].accessPolicy'</span> <span class="c"># Output que no quería ver:</span> <span class="c"># "accessPolicy": "project-wide"</span> <span class="c"># Significa: cualquier servicio del proyecto puede leer/escribir</span> <span class="c"># Incluyendo el servicio de preview deployments</span> <span class="c"># Incluyendo branches de PRs abiertas</span> </code></pre> </div> <p>Los preview deployments de PRs tienen acceso de lectura a mis volúmenes de datos de entrenamiento. Eso significa que cualquier colaborador externo que abra una PR — o cualquier atacante que comprometa esa superficie — puede llegar a esos artefactos.</p> <h2> Los errores que Mercor no inventó: los heredó del ecosistema </h2> <p>Mi tesis, después de esta simulación: <strong>Mercor no hizo nada raro. Hizo lo que hace el 90% del ecosistema de plataformas de datos IA</strong>. Y eso es exactamente el problema.</p> <p>El modelo de contratistas distribuidos para etiquetado y grabación de datos nació de la necesidad de escalar rápido. RLHF, grabación de voz, evaluación de respuestas — todo esto requiere trabajo humano distribuido globalmente. La infraestructura de acceso se diseñó para facilitar ese trabajo, no para resistir un adversario que robe un token de un contratista en Manila o Lagos.</p> <p><strong>Gotcha #1: tokens de larga duración como default</strong></p> <p>La mayoría de las plataformas de tareas IA emiten tokens con expiración de 30-90 días. En un contrato que dura dos semanas, el token sobrevive al trabajo por meses. Nadie hace offboarding de credenciales porque nadie tiene el proceso.</p> <p><strong>Gotcha #2: acceso de lectura amplio para "comodidad operativa"</strong></p> <p>Si un contratista necesita descargar muestras de referencia para calibrar su trabajo, la solución más fácil es darle acceso de lectura al bucket completo. Scopear el acceso por lote, por fecha o por ID de tarea requiere ingeniería adicional que no siempre se prioriza.</p> <p><strong>Gotcha #3: ausencia de alertas en patrones de acceso anómalos</strong></p> <p>Un contratista legítimo accede a 200-300 archivos por sesión de trabajo. Un sync de 4TB es 40 millones de archivos pequeños o miles de archivos grandes en una ventana corta. Eso debería disparar una alerta. Si no la disparó, no había baseline de comportamiento normal configurado.</p> <p>Esto conecta con algo que <a href="https://juanchi.dev/es/blog/typescript-70-beta-novedades-prueba-codebase-real" rel="noopener noreferrer">TypeScript 7.0 me hizo revisar en mi codebase</a>: la mayoría de los problemas de seguridad que encontré no eran bugs de lógica — eran ausencia de constraints. Sin tipos estrictos, sin políticas de acceso estrictas, el sistema hace lo que puede, no lo que debe.</p> <h2> Lo que cambié en mi stack después de la simulación </h2> <p>No soy Mercor, pero el ejercicio me dejó con una lista concreta. La comparto porque los cambios son replicables en cualquier stack pequeño:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># 1. Rotación forzada de tokens sin fecha de expiración</span> <span class="c"># Script que corrí para identificar y revocar</span> <span class="k">for </span>key <span class="k">in</span> <span class="si">$(</span><span class="nb">grep</span> <span class="nt">-r</span> <span class="s2">"sk-"</span> ~/.env_<span class="k">*</span> | <span class="nb">awk</span> <span class="nt">-F</span><span class="s1">'='</span> <span class="s1">'{print $2}'</span><span class="si">)</span><span class="p">;</span> <span class="k">do</span> <span class="c"># Verificar última vez usado via logs de Railway</span> <span class="nb">echo</span> <span class="s2">"Revisando: </span><span class="k">${</span><span class="nv">key</span>:0:8<span class="k">}</span><span class="s2">..."</span> <span class="c"># Revocar si último uso &gt; 30 días</span> <span class="k">done</span> <span class="c"># Resultado: revoqué 14 tokens, de los cuales 9 no habían sido usados en 60+ días</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// 2. Sanitización de logs — lo que debería haber estado desde el principio</span> <span class="kd">const</span> <span class="nx">sanitizeForLog</span> <span class="o">=</span> <span class="p">(</span><span class="nx">obj</span><span class="p">:</span> <span class="nb">Record</span><span class="o">&lt;</span><span class="kr">string</span><span class="p">,</span> <span class="nx">unknown</span><span class="o">&gt;</span><span class="p">):</span> <span class="nb">Record</span><span class="o">&lt;</span><span class="kr">string</span><span class="p">,</span> <span class="nx">unknown</span><span class="o">&gt;</span> <span class="o">=&gt;</span> <span class="p">{</span> <span class="kd">const</span> <span class="nx">CAMPOS_SENSIBLES</span> <span class="o">=</span> <span class="p">[</span><span class="dl">'</span><span class="s1">authorization</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">token</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">secret</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">password</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">body</span><span class="dl">'</span><span class="p">];</span> <span class="k">return</span> <span class="nb">Object</span><span class="p">.</span><span class="nf">fromEntries</span><span class="p">(</span> <span class="nb">Object</span><span class="p">.</span><span class="nf">entries</span><span class="p">(</span><span class="nx">obj</span><span class="p">).</span><span class="nf">map</span><span class="p">(([</span><span class="nx">key</span><span class="p">,</span> <span class="nx">value</span><span class="p">])</span> <span class="o">=&gt;</span> <span class="p">[</span> <span class="nx">key</span><span class="p">,</span> <span class="nx">CAMPOS_SENSIBLES</span><span class="p">.</span><span class="nf">some</span><span class="p">(</span><span class="nx">campo</span> <span class="o">=&gt;</span> <span class="nx">key</span><span class="p">.</span><span class="nf">toLowerCase</span><span class="p">().</span><span class="nf">includes</span><span class="p">(</span><span class="nx">campo</span><span class="p">))</span> <span class="p">?</span> <span class="dl">'</span><span class="s1">[REDACTADO]</span><span class="dl">'</span> <span class="p">:</span> <span class="nx">value</span> <span class="p">])</span> <span class="p">);</span> <span class="p">};</span> <span class="c1">// Uso:</span> <span class="nx">logger</span><span class="p">.</span><span class="nf">info</span><span class="p">(</span><span class="dl">'</span><span class="s1">API request</span><span class="dl">'</span><span class="p">,</span> <span class="nf">sanitizeForLog</span><span class="p">({</span> <span class="na">endpoint</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">url</span><span class="p">,</span> <span class="na">method</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">method</span><span class="p">,</span> <span class="na">headers</span><span class="p">:</span> <span class="nx">req</span><span class="p">.</span><span class="nx">headers</span><span class="p">,</span> <span class="c1">// ahora → '[REDACTADO]' para Authorization</span> <span class="na">userId</span><span class="p">:</span> <span class="nx">session</span><span class="p">.</span><span class="nx">userId</span> <span class="p">}));</span> </code></pre> </div> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># 3. Aislamiento de volúmenes por servicio en Railway</span> <span class="c"># Cambié de "project-wide" a "service-specific"</span> railway volume update <span class="nt">--service</span> api-produccion <span class="nt">--access</span> service-only <span class="c"># Preview deployments ya no tienen acceso</span> <span class="c"># Costo operativo: tuve que configurar un endpoint de descarga autenticado</span> <span class="c"># Vale la pena</span> </code></pre> </div> <p>El tercer punto fue el más doloroso. Tenía preview deployments que usaban los mismos datos que producción para "facilitar el testing". Era conveniente. Era también una superficie de ataque directa. Cuando <a href="https://juanchi.dev/es/blog/migrar-notion-markdown-plain-text-lo-que-perdi" rel="noopener noreferrer">migré mis notas de Notion a Markdown</a> aprendí que la comodidad tiene costos ocultos. Acá aplica igual: la comodidad de "acceso compartido" tiene un costo de superficie que no estaba midiendo.</p> <h2> FAQ: seguridad de datos en stacks de contratistas IA </h2> <p><strong>¿Qué es exactamente lo que se robó en Mercor y por qué es grave?</strong></p> <p>Mercor es una plataforma que conecta empresas de IA con contratistas para tareas de etiquetado, evaluación y grabación de datos. Las 4TB robadas corresponden a muestras de voz recopiladas de aproximadamente 40.000 trabajadores. La gravedad es doble: primero, las grabaciones de voz son datos biométricos — son irrevocables, no podés cambiarle la voz a alguien como se cambia una contraseña. Segundo, esas muestras incluyen metadatos (nombre, ubicación, dispositivo) que permiten construir perfiles completos de personas que generalmente trabajan en economías vulnerables.</p> <p><strong>¿Cómo puede afectar esto a alguien que no usa Mercor pero trabaja con datos de entrenamiento?</strong></p> <p>El vector es el mismo aunque la plataforma sea distinta. Si almacenás datasets de entrenamiento en buckets con acceso amplio, si emitís tokens de larga duración a colaboradores externos, o si loggueás metadata de usuarios sin sanitizar, tenés la misma superficie. El nombre de la empresa comprometida cambia; la arquitectura de riesgo es idéntica.</p> <p><strong>¿Qué diferencia hay entre este robo y un breach de credenciales común?</strong></p> <p>La diferencia principal es la naturaleza irreversible del dato. Cuando te roban una contraseña, la cambiás. Cuando te roban una muestra de voz entrenada sobre miles de horas de grabación, no hay revocación posible. Además, los datos de entrenamiento de IA tienen valor de mercado muy específico: sirven para entrenar modelos de clonación de voz, sistemas de autenticación biométrica falsificados, y para evadir sistemas de detección de deepfakes. El mercado para eso existe y paga bien.</p> <p><strong>¿Es suficiente con rotar tokens regularmente para estar protegido?</strong></p> <p>No, pero es el primer escalón. La rotación de tokens ataca el problema de credenciales de larga duración, pero no resuelve el acceso amplio, los logs con información sensible, o la ausencia de alertas por comportamiento anómalo. Es necesario también: políticas de acceso mínimo (least privilege), alertas sobre patrones de descarga fuera de baseline, y separación estricta entre ambientes de desarrollo y producción.</p> <p><strong>¿Qué datos de uso de API de LLMs estoy exponiendo sin saberlo?</strong></p> <p>Más de lo que creés. Típicamente: prompts completos de usuarios en logs de debugging, tokens de autenticación en headers logueados, patrones de comportamiento que permiten identificar usuarios aunque no guardés PII explícita, y artefactos intermedios de procesamiento que pueden incluir fragmentos de datos de entrenamiento. Corrí la auditoría descrita en este post y encontré 23 tokens activos sin expiración y logs con Authorization headers en texto plano. No es inusual — es el default si no configurás activamente lo contrario.</p> <p><strong>¿Debería preocuparme si soy un desarrollador indie sin datos de voz?</strong></p> <p>Sí, pero con proporción. No tenés el mismo riesgo que Mercor. Pero si usás APIs de LLMs, tenés tokens. Si tenés tokens, tenés credenciales que pueden comprometerse. Si loggueás requests para debugging — y casi todos lo hacemos — tenés potencial exposición de datos de usuarios. La escala cambia, el patrón no. El ejercicio mínimo útil: auditar cuántos tokens activos tenés hoy, cuántos tienen fecha de expiración, y qué estás logueando en producción.</p> <h2> Lo incómodo que no voy a suavizar </h2> <p>Cuando terminé la simulación, había encontrado 23 tokens sin expiración, logs con headers de autenticación en texto plano, y preview deployments con acceso a datos de entrenamiento de producción. No sufrí un breach. Pero si alguien hubiera comprometido uno de esos tokens antes de que yo los rotara, el daño era real y silencioso.</p> <p>Lo que me quedo de Mercor no es la indignación moral — aunque 4TB de voz de 40k contratistas es un daño concreto a personas reales. Lo que me quedo es que <strong>el ecosistema de datos de entrenamiento IA construyó su infraestructura de acceso para velocidad, no para resistencia</strong>. Y cuando ese modelo escala a millones de contratistas distribuidos globalmente, la superficie de ataque crece más rápido que los controles.</p> <p>Mi postura es esta: si construís pipelines de datos IA — aunque sea a escala indie — la auditoría de credenciales y permisos no es una tarea para "cuando tenga tiempo". Es una deuda técnica que, si no la pagás, alguien más la cobra por vos.</p> <p>El mismo patrón que <a href="https://juanchi.dev/es/blog/godaddy-domain-hijacking-security-simulacion-ataque-infra-propia" rel="noopener noreferrer">me enseñó el ataque a mi dominio de GoDaddy</a> aplica acá: el breach no ocurre donde ponés atención. Ocurre en el token que olvidaste, el log que nunca revisaste, el bucket que dejaste con permisos anchos "por las dudas".</p> <p>Andá a contar tus tokens activos. Yo conté 23. ¿Vos cuántos tenés?</p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/mercor-robo-datos-voz-contratistas-ia-simulacion-stack" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol railway privacidad pgbackrest is unmaintained: what I'm doing with my Postgres backups in production now Juan Torchia Tue, 28 Apr 2026 14:30:42 +0000 https://forem.com/jtorchia/pgbackrest-is-unmaintained-what-im-doing-with-my-postgres-backups-in-production-now-59ei https://forem.com/jtorchia/pgbackrest-is-unmaintained-what-im-doing-with-my-postgres-backups-in-production-now-59ei <h1> pgbackrest is unmaintained: what I'm doing with my Postgres backups in production now </h1> <p>A backup is basically like writing a phone number on a napkin. The napkin exists, the number is there, you feel covered. But the day you actually need to call and the napkin has dissolved at the bottom of a jeans pocket that went through the wash — that's the day you realize you never had a recovery plan. You had the illusion of one.</p> <p>That's what the HN thread about pgbackrest made me see: I had a wet napkin.</p> <h2> pgbackrest alternative postgres backup production: the context that actually matters </h2> <p>The thread hit 425 points on Hacker News with a comment that left little room for doubt: the primary maintainer no longer has time, PRs are piling up unreviewed, and the project's direction is on indefinite pause. It's not an abandoned repo yet — but it's not something you'd want to stake a database holding real user data on.</p> <p>I was using it. Not as a first line, but as part of the incremental backup flow I built two years ago after <a href="https://juanchi.dev/en/blog/ai-agent-deleted-production-database-logs-guardrails-real-analysis" rel="noopener noreferrer">an AI agent deleted my production database</a>. After that episode I swore I'd never depend on a single recovery mechanism again. pgbackrest was the layer handling incremental backups with compression and time-based retention. It worked. Until it stopped making sense to keep depending on something with no active maintainer.</p> <p>My thesis: <strong>the death of an infra project isn't the problem itself — it's the smoke detector telling you you've never actually tested recovering anything</strong>. The problem existed before. The HN thread just made it visible.</p> <h2> What I evaluated and how I thought about it </h2> <p>Before jumping to whatever the trendy alternative was, I forced myself to define what I actually needed. My stack: PostgreSQL 16 running on Railway, ~4.2 GB database, WAL archiving enabled, 30-day retention, and an informal RTO of "under 2 hours" that I had never concretely measured.</p> <p>Three options I evaluated seriously:</p> <h3> 1. WAL-G </h3> <p>Open source, actively maintained by Wal-G Inc. (formerly part of the Citus/Microsoft stack), native support for S3, GCS, Azure, and local filesystem. The most concrete advantage: the binary is self-contained — no weird dependencies to wrangle.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Basic install on Debian/Ubuntu</span> curl <span class="nt">-L</span> https://github.com/wal-g/wal-g/releases/latest/download/wal-g-pg-ubuntu-20.04-amd64.tar.gz <span class="se">\</span> | <span class="nb">tar</span> <span class="nt">-xz</span> <span class="nt">-C</span> /usr/local/bin/ <span class="c"># Minimum environment variables for S3</span> <span class="nb">export </span><span class="nv">WALG_S3_PREFIX</span><span class="o">=</span><span class="s2">"s3://my-backup-bucket/postgres"</span> <span class="nb">export </span><span class="nv">AWS_ACCESS_KEY_ID</span><span class="o">=</span><span class="s2">"..."</span> <span class="nb">export </span><span class="nv">AWS_SECRET_ACCESS_KEY</span><span class="o">=</span><span class="s2">"..."</span> <span class="nb">export </span><span class="nv">PGDATA</span><span class="o">=</span><span class="s2">"/var/lib/postgresql/16/main"</span> <span class="c"># Full base backup</span> wal-g backup-push <span class="nv">$PGDATA</span> <span class="c"># List available backups</span> wal-g backup-list DETAIL <span class="c"># Restore to a specific point in time</span> wal-g backup-fetch <span class="nv">$PGDATA</span> LATEST </code></pre> </div> <p>What surprised me: in my restore tests, WAL-G took <strong>18 minutes</strong> to recover the 4.2 GB from S3, including WAL application up to the target point in time. I measured that number three times with a simple script.</p> <h3> 2. Barman (Backup and Recovery Manager) </h3> <p>Maintained by EnterpriseDB, far more mature in terms of operational interface. The configuration curve is steep — there's a separate Barman server acting as backup receiver, which means additional infrastructure.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Basic barman.conf (on the dedicated Barman server)</span> <span class="o">[</span>barman] barman_home <span class="o">=</span> /var/lib/barman barman_user <span class="o">=</span> barman log_file <span class="o">=</span> /var/log/barman/barman.log compression <span class="o">=</span> <span class="nb">gzip </span>reuse_backup <span class="o">=</span> <span class="nb">link</span> <span class="c"># hardlinks for efficient incremental backups</span> <span class="o">[</span>my-postgres-server] description <span class="o">=</span> <span class="s2">"Main production"</span> conninfo <span class="o">=</span> <span class="nv">host</span><span class="o">=</span>postgres-host <span class="nv">user</span><span class="o">=</span>barman <span class="nv">dbname</span><span class="o">=</span>postgres backup_method <span class="o">=</span> rsync archiver <span class="o">=</span> on retention_policy <span class="o">=</span> RECOVERY WINDOW OF 30 DAYS <span class="c"># Check configuration</span> barman check my-postgres-server <span class="c"># Backup</span> barman backup my-postgres-server <span class="c"># List</span> barman list-backup my-postgres-server <span class="c"># Restore</span> barman recover my-postgres-server latest /var/lib/postgresql/16/main <span class="se">\</span> <span class="nt">--target-time</span> <span class="s2">"2025-07-10 14:30:00"</span> </code></pre> </div> <p>Barman's restore time in the same scenario: <strong>31 minutes</strong>. Nearly double. The main reason is that Barman uses rsync by default and has coordination overhead between servers. With <code>backup_method = postgres</code> (streaming) it comes down, but it still doesn't win.</p> <h3> 3. Plain pg_dump with manual rotation </h3> <p>The most honest option. The one everyone knows, nobody wants to use for serious production, and the one that often is the only thing left standing when everything else fails.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c">#!/bin/bash</span> <span class="c"># pg_dump backup script — no magic, no external dependencies</span> <span class="c"># Saved as /usr/local/bin/pg_daily_backup.sh</span> <span class="nb">set</span> <span class="nt">-euo</span> pipefail <span class="nv">TIMESTAMP</span><span class="o">=</span><span class="si">$(</span><span class="nb">date</span> +%Y%m%d_%H%M%S<span class="si">)</span> <span class="nv">DB_NAME</span><span class="o">=</span><span class="s2">"my_database"</span> <span class="nv">BACKUP_DIR</span><span class="o">=</span><span class="s2">"/mnt/backups/postgres"</span> <span class="nv">RETENTION_DAYS</span><span class="o">=</span>14 <span class="c"># Compressed backup</span> pg_dump <span class="nt">-Fc</span> <span class="se">\</span> <span class="nt">--no-password</span> <span class="se">\</span> <span class="nt">-h</span> <span class="nv">$PGHOST</span> <span class="se">\</span> <span class="nt">-U</span> <span class="nv">$PGUSER</span> <span class="se">\</span> <span class="nt">-d</span> <span class="nv">$DB_NAME</span> <span class="se">\</span> <span class="o">&gt;</span> <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">/</span><span class="k">${</span><span class="nv">DB_NAME</span><span class="k">}</span><span class="s2">_</span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">.dump"</span> <span class="c"># Automatic rotation</span> find <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">"</span> <span class="nt">-name</span> <span class="s2">"*.dump"</span> <span class="nt">-mtime</span> +<span class="nv">$RETENTION_DAYS</span> <span class="nt">-delete</span> <span class="c"># Log the actual dump size</span> <span class="nb">du</span> <span class="nt">-sh</span> <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">/</span><span class="k">${</span><span class="nv">DB_NAME</span><span class="k">}</span><span class="s2">_</span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">.dump"</span> <span class="o">&gt;&gt;</span> /var/log/pg_backup.log <span class="nb">echo</span> <span class="s2">"Backup completed: </span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">"</span> <span class="o">&gt;&gt;</span> /var/log/pg_backup.log </code></pre> </div> <p>Restore with pg_dump is <strong>23 minutes</strong> for the 4.2 GB. Faster than Barman, slower than WAL-G — but with no PITR (Point in Time Recovery). If you need to recover to 14:37 and your closest backup is from 14:00, you just lost 37 minutes of data. That trade-off is the one that really stings in real production.</p> <h2> What popularity benchmarks don't tell you </h2> <p>The problem with choosing infra tools by GitHub stars or how often people mention them on Reddit is that popularity measures adoption, not fitness for your specific case. pgbackrest has over 3,000 stars. That did nothing for me when I needed to understand how long my particular database would actually take to recover.</p> <p>What helped: measuring. Three distinct scenarios:</p> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Tool</th> <th>Full restore (4.2 GB)</th> <th>PITR available</th> <th>Infra overhead</th> <th>Storage cost (30 days)</th> </tr> </thead> <tbody> <tr> <td>WAL-G</td> <td>18 min</td> <td>Yes</td> <td>Minimal</td> <td>~$0.92/mo on S3</td> </tr> <tr> <td>Barman</td> <td>31 min</td> <td>Yes</td> <td>Dedicated server</td> <td>~$0.92/mo + EC2</td> </tr> <tr> <td>pg_dump</td> <td>23 min</td> <td>No</td> <td>None</td> <td>~$0.85/mo on S3</td> </tr> </tbody> </table></div> <p>Storage cost on S3 is nearly identical because WAL-G compresses aggressively and archived WALs are reasonably small for a database without massive write throughput. But if Railway or Supabase were my managed Postgres option, external WAL archiving either comes pre-solved by the platform or simply isn't available for manual configuration.</p> <p>That detail made me revisit <a href="https://juanchi.dev/en/blog/godaddy-domain-hijacking-simulated-attack-own-infra" rel="noopener noreferrer">why I moved certain things to my own infrastructure</a> — control over how and where you store your recovery data is not a minor concern when the provider decides which features you get to touch.</p> <h2> The mistakes I made (and that you'll make if you don't check right now) </h2> <h3> Mistake 1: I never actually restored anything </h3> <p>I'd had backups running for two years. I never did a full restore to a staging environment to measure real time. The number I had in my head ("Postgres backup, under an hour") was completely made up. My first real restore to a clean environment took 47 minutes with pgbackrest — almost double what I'd assumed.</p> <p>If you haven't run a full restore in the last month, you don't have a recovery plan. You have a wet napkin.</p> <h3> Mistake 2: confusing backup with archive </h3> <p>WAL archiving and base backups are two different things that work together. If you only have WAL archiving without a recent base backup, restore time will be proportional to how many WAL files you need to apply from the last base backup. In my case, with a weekly base backup and continuous WAL, the worst case was 7 days of WAL — several additional minutes of replay.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># See how many WAL segments exist since the last backup</span> <span class="c"># In WAL-G:</span> wal-g wal-show <span class="c"># Expected output — pay attention to the "segments" count</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># | Start | End |Segments |</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># | 2025-07-04T03:00:00+00:00 | current | 1842 |</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># 1842 segments = non-trivial replay time</span> </code></pre> </div> <h3> Mistake 3: ignoring WAL size in production </h3> <p>My database is 4.2 GB of data, but it generates roughly 180 MB of WAL per day. Over 30 days: ~5.4 GB of additional archived WAL. If you don't measure it, the storage cost creeps up silently. On S3 it's cheap — on other providers it can surprise you.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="nt">--</span> Measure WAL generation <span class="k">in </span>the last 24 hours SELECT count<span class="o">(</span><span class="k">*</span><span class="o">)</span> as wal_files_generated, pg_size_pretty<span class="o">(</span><span class="nb">sum</span><span class="o">(</span>size<span class="o">))</span> as total_size FROM pg_ls_waldir<span class="o">()</span> WHERE modification <span class="o">&gt;</span> now<span class="o">()</span> - interval <span class="s1">'24 hours'</span><span class="p">;</span> </code></pre> </div> <p>This kind of measurement is exactly what <a href="https://juanchi.dev/en/blog/ai-agent-deleted-production-database-logs-guardrails-real-analysis" rel="noopener noreferrer">production logs reveal</a> when you force yourself to look at them cold, without the adrenaline of an active incident.</p> <h2> FAQ: pgbackrest alternative postgres backup production </h2> <p><strong>Is WAL-G a drop-in replacement for pgbackrest?</strong></p> <p>Functionally yes, in most cases. Both handle base backups + WAL archiving with PITR. The main difference is in configuration: WAL-G is simpler to get started (one binary, environment variables) while pgbackrest has a more expressive config file. If you already have pgbackrest configured, migrating to WAL-G means rewriting the config and doing a full base backup from scratch — you can't reuse existing backups in a different format.</p> <p><strong>Is Barman still worth it if you already have dedicated infra?</strong></p> <p>Yes, especially if you manage multiple Postgres instances and need a centralized operational interface with auditing. The overhead of a separate Barman server pays off when you're managing 5+ instances from one place. For a single instance like mine, it's overkill with a real cost.</p> <p><strong>Is pg_dump enough for production or just for development?</strong></p> <p>Depends on your RTO and RPO. If you can tolerate data loss up to N hours (where N is your dump frequency) and a 20–40 minute restore doesn't break any SLA, pg_dump with automated rotation is completely valid. The real limitation is the absence of PITR: you can't recover to an exact point between two dumps. For critical transactional databases, that's usually unacceptable.</p> <p><strong>How do I configure WAL archiving on Railway or Supabase?</strong></p> <p>On Railway with a custom Postgres install you can configure <code>archive_mode = on</code> and <code>archive_command</code> if you have access to <code>postgresql.conf</code>. On Supabase, WAL archiving is internal to the service — you can use Point in Time Recovery within the platform but you can't export WAL to external storage directly. That's a recovery vendor lock-in worth evaluating based on how critical your data is.</p> <p><strong>What base backup frequency makes sense?</strong></p> <p>For most cases: daily base backup + continuous WAL. A weekly base backup with continuous WAL is acceptable if the database grows slowly (under 500 MB/day of WAL). With daily base backups, WAL replay during restore is minimal. With weekly, in the worst case you need to apply 7 days of WAL — that can add tens of minutes depending on write volume.</p> <p><strong>Is it worth waiting to see if pgbackrest picks up maintenance again?</strong></p> <p>No. In infra systems, a maintainer who announces they don't have time rarely comes back with more energy. The window between "project without active maintenance" and "critical vulnerability with no patch" can be short. Migrate now, with time, not during an incident. The cost of migrating calmly is infinitely lower than migrating under pressure — something I learned the night I <a href="https://juanchi.dev/en/blog/asahi-linux-70-apple-silicon-installed-measured-real-workflow" rel="noopener noreferrer">wiped a production server with rm -rf in my first week on the job</a>.</p> <h2> What I chose and why it's not the right answer for everyone </h2> <p>I went with <strong>WAL-G + pg_dump as a second line</strong>.</p> <p>WAL-G handles incremental backups with PITR. pg_dump runs every 24 hours to a separate S3 bucket as an independent fallback — no third-party tool dependencies, no special binaries, just <code>pg_dump</code> and <code>aws s3 cp</code>. If WAL-G disappeared tomorrow, I have yesterday's dump.</p> <p>The criterion I used wasn't "which tool has more stars" — it was "how fast can I recover and how many dependencies are in the recovery chain." Fewer dependencies in the critical path is better. When you have to restore a database, every additional piece that can fail is a problem you don't need.</p> <p>What I wouldn't choose for my case: Barman on a single instance. The operational overhead doesn't close the deal. It can make sense for teams with multiple databases and a dedicated DBA — but that's not my reality.</p> <p>The uncomfortable part of all this: I spent two years with pgbackrest without ever measuring a real restore. The HN thread didn't break my infrastructure — it broke my false sense of security. And in the long run, that was better than keeping a wet napkin in my pocket.</p> <p>If you want to audit what else might be in "works until it doesn't" state in your data layer, the post about <a href="https://juanchi.dev/en/blog/plain-text-won-migrating-notion-to-markdown-what-i-lost" rel="noopener noreferrer">migrating from Notion to Markdown</a> has some of that same flavor: the silent dependency that only hurts when you try to leave.</p> <p>And if you make the switch to WAL-G, measure the restore. Don't assume it. The real number is always different from the imagined one.</p> <p><em>Migrating from pgbackrest or evaluating your options? Reach out — I'm putting together a repo of real WAL-G configs specifically for Railway.</em></p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/pgbackrest-unmaintained-postgres-backup-alternatives-production" rel="noopener noreferrer">juanchi.dev</a></em></p> english devops produccion railway pgbackrest dejó de mantenerse: qué hago ahora con mis backups de Postgres en producción Juan Torchia Tue, 28 Apr 2026 14:30:38 +0000 https://forem.com/jtorchia/pgbackrest-dejo-de-mantenerse-que-hago-ahora-con-mis-backups-de-postgres-en-produccion-ccd https://forem.com/jtorchia/pgbackrest-dejo-de-mantenerse-que-hago-ahora-con-mis-backups-de-postgres-en-produccion-ccd <h1> pgbackrest dejó de mantenerse: qué hago ahora con mis backups de Postgres en producción </h1> <p>Hacer un backup es básicamente como anotarte un número de teléfono en una servilleta. La servilleta existe, el número está ahí, sentís que estás cubierto. Pero el día que necesitás llamar y la servilleta desapareció en el fondo de un bolsillo de jean que pasó por el lavarropas — ese día entendés que nunca tuviste un plan de recuperación. Tenías una ilusión de plan.</p> <p>Eso es lo que el thread de HN sobre pgbackrest me hizo caer: yo tenía una servilleta mojada.</p> <h2> pgbackrest alternativa postgres backup producción: el contexto que importa </h2> <p>El thread llegó a 425 puntos en Hacker News con un comentario que no dejaba mucho lugar a la duda: el mantenedor principal ya no tiene tiempo, los PRs se acumulan sin revisión y la dirección del proyecto está en pausa indefinida. No es un repo abandonado todavía, pero tampoco es algo en lo que querrías apoyar una base de datos que aloja datos de usuarios reales.</p> <p>Yo lo usaba. No como primera línea, pero sí como parte del flujo de backup incremental que armé hace dos años cuando <a href="https://juanchi.dev/es/blog/agente-ia-borro-base-datos-produccion-logs-guardrails" rel="noopener noreferrer">el agente me borró la base de datos en producción</a>. Después de ese episodio prometí que nunca más iba a depender de un solo mecanismo de recovery. pgbackrest era la capa que manejaba los backups incrementales con compresión y retención por tiempo. Funcionaba. Hasta que dejó de tener sentido seguir dependiendo de algo sin maintainer activo.</p> <p>Mi tesis: <strong>la muerte de un proyecto de infra no es el problema en sí — es el detector de humo que te avisa que nunca probaste realmente recuperar nada</strong>. El problema estaba antes. El thread de HN solo lo hizo visible.</p> <h2> Qué opciones evalué y con qué criterio </h2> <p>Antes de saltar a la alternativa de moda, me obligué a definir qué necesitaba realmente. Mi stack: PostgreSQL 16 corriendo en Railway, base de datos de ~4.2 GB, WAL archiving habilitado, retention de 30 días, RTO informal de "menos de 2 horas" que nunca había medido concretamente.</p> <p>Las tres opciones que evalué en serio:</p> <h3> 1. WAL-G </h3> <p>Open source, mantenido activamente por Wal-G Inc. (antes parte del stack de Citus/Microsoft), soporte nativo para S3, GCS, Azure y filesystem local. La ventaja más concreta es que el binario es autocontenido — no hay dependencias raras que gestionar.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Instalación básica en Debian/Ubuntu</span> curl <span class="nt">-L</span> https://github.com/wal-g/wal-g/releases/latest/download/wal-g-pg-ubuntu-20.04-amd64.tar.gz <span class="se">\</span> | <span class="nb">tar</span> <span class="nt">-xz</span> <span class="nt">-C</span> /usr/local/bin/ <span class="c"># Variables de entorno mínimas para S3</span> <span class="nb">export </span><span class="nv">WALG_S3_PREFIX</span><span class="o">=</span><span class="s2">"s3://mi-bucket-backups/postgres"</span> <span class="nb">export </span><span class="nv">AWS_ACCESS_KEY_ID</span><span class="o">=</span><span class="s2">"..."</span> <span class="nb">export </span><span class="nv">AWS_SECRET_ACCESS_KEY</span><span class="o">=</span><span class="s2">"..."</span> <span class="nb">export </span><span class="nv">PGDATA</span><span class="o">=</span><span class="s2">"/var/lib/postgresql/16/main"</span> <span class="c"># Backup base completo</span> wal-g backup-push <span class="nv">$PGDATA</span> <span class="c"># Listar backups disponibles</span> wal-g backup-list DETAIL <span class="c"># Restore a punto específico en el tiempo</span> wal-g backup-fetch <span class="nv">$PGDATA</span> LATEST </code></pre> </div> <p>Lo que me sorprendió: en mis pruebas de restore, WAL-G tardó <strong>18 minutos</strong> en recuperar los 4.2 GB desde S3 incluyendo aplicación de WAL hasta el punto en el tiempo que elegí. Ese número lo medí tres veces con un script simple.</p> <h3> 2. Barman (Backup and Recovery Manager) </h3> <p>Mantenido por EnterpriseDB, mucho más maduro en términos de interfaz operacional. La curva de configuración es empinada — hay un servidor Barman separado que actúa como receptor de backups, lo que implica infraestructura adicional.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># barman.conf básico (en el servidor Barman dedicado)</span> <span class="o">[</span>barman] barman_home <span class="o">=</span> /var/lib/barman barman_user <span class="o">=</span> barman log_file <span class="o">=</span> /var/log/barman/barman.log compression <span class="o">=</span> <span class="nb">gzip </span>reuse_backup <span class="o">=</span> <span class="nb">link</span> <span class="c"># hardlinks para backups incrementales eficientes</span> <span class="o">[</span>mi-postgres-server] description <span class="o">=</span> <span class="s2">"Producción principal"</span> conninfo <span class="o">=</span> <span class="nv">host</span><span class="o">=</span>postgres-host <span class="nv">user</span><span class="o">=</span>barman <span class="nv">dbname</span><span class="o">=</span>postgres backup_method <span class="o">=</span> rsync archiver <span class="o">=</span> on retention_policy <span class="o">=</span> RECOVERY WINDOW OF 30 DAYS <span class="c"># Verificar configuración</span> barman check mi-postgres-server <span class="c"># Backup</span> barman backup mi-postgres-server <span class="c"># Listar</span> barman list-backup mi-postgres-server <span class="c"># Restore</span> barman recover mi-postgres-server latest /var/lib/postgresql/16/main <span class="se">\</span> <span class="nt">--target-time</span> <span class="s2">"2025-07-10 14:30:00"</span> </code></pre> </div> <p>El tiempo de restore de Barman en el mismo escenario: <strong>31 minutos</strong>. Casi el doble. La razón principal es que Barman usa rsync por defecto y tiene overhead de coordinación entre servidores. Con <code>backup_method = postgres</code> (streaming) baja, pero igual no gana.</p> <h3> 3. pg_dump puro con rotación manual </h3> <p>La opción más honesta. La que todo el mundo conoce, nadie quiere usar para producción seria, y que muchas veces es la única que sobrevive cuando todo lo demás falla.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c">#!/bin/bash</span> <span class="c"># Script de backup con pg_dump — sin magia, sin dependencias externas</span> <span class="c"># Guardado en /usr/local/bin/pg_backup_diario.sh</span> <span class="nb">set</span> <span class="nt">-euo</span> pipefail <span class="nv">TIMESTAMP</span><span class="o">=</span><span class="si">$(</span><span class="nb">date</span> +%Y%m%d_%H%M%S<span class="si">)</span> <span class="nv">DB_NAME</span><span class="o">=</span><span class="s2">"mi_base"</span> <span class="nv">BACKUP_DIR</span><span class="o">=</span><span class="s2">"/mnt/backups/postgres"</span> <span class="nv">RETENTION_DAYS</span><span class="o">=</span>14 <span class="c"># Backup comprimido</span> pg_dump <span class="nt">-Fc</span> <span class="se">\</span> <span class="nt">--no-password</span> <span class="se">\</span> <span class="nt">-h</span> <span class="nv">$PGHOST</span> <span class="se">\</span> <span class="nt">-U</span> <span class="nv">$PGUSER</span> <span class="se">\</span> <span class="nt">-d</span> <span class="nv">$DB_NAME</span> <span class="se">\</span> <span class="o">&gt;</span> <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">/</span><span class="k">${</span><span class="nv">DB_NAME</span><span class="k">}</span><span class="s2">_</span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">.dump"</span> <span class="c"># Rotación automática</span> find <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">"</span> <span class="nt">-name</span> <span class="s2">"*.dump"</span> <span class="nt">-mtime</span> +<span class="nv">$RETENTION_DAYS</span> <span class="nt">-delete</span> <span class="c"># Log del tamaño real del dump</span> <span class="nb">du</span> <span class="nt">-sh</span> <span class="s2">"</span><span class="nv">$BACKUP_DIR</span><span class="s2">/</span><span class="k">${</span><span class="nv">DB_NAME</span><span class="k">}</span><span class="s2">_</span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">.dump"</span> <span class="o">&gt;&gt;</span> /var/log/pg_backup.log <span class="nb">echo</span> <span class="s2">"Backup completado: </span><span class="k">${</span><span class="nv">TIMESTAMP</span><span class="k">}</span><span class="s2">"</span> <span class="o">&gt;&gt;</span> /var/log/pg_backup.log </code></pre> </div> <p>Restore con pg_dump es <strong>23 minutos</strong> para los 4.2 GB. Más rápido que Barman, más lento que WAL-G, pero sin PITR (Point in Time Recovery). Si necesitás recuperar a las 14:37 y el backup más cercano es de las 14:00, perdiste 37 minutos de datos. Ese trade-off es el que más duele en producción real.</p> <h2> Lo que los benchmarks de popularidad no te dicen </h2> <p>El problema con elegir herramientas de infra por GitHub stars o por cuánta gente las menciona en Reddit es que la popularidad mide adopción, no idoneidad para el caso específico. pgbackrest tiene más de 3.000 estrellas. Eso no me ayudó cuando necesité entender cuánto tarda mi base puntual en recuperarse.</p> <p>Lo que sí me ayudó: medir. Tres scenarios distintos:</p> <div class="table-wrapper-paragraph"><table> <thead> <tr> <th>Herramienta</th> <th>Restore completo (4.2 GB)</th> <th>PITR disponible</th> <th>Overhead infra</th> <th>Costo storage (30 días)</th> </tr> </thead> <tbody> <tr> <td>WAL-G</td> <td>18 min</td> <td>Sí</td> <td>Mínimo</td> <td>~$0.92/mes en S3</td> </tr> <tr> <td>Barman</td> <td>31 min</td> <td>Sí</td> <td>Servidor dedicado</td> <td>~$0.92/mes + EC2</td> </tr> <tr> <td>pg_dump</td> <td>23 min</td> <td>No</td> <td>Ninguno</td> <td>~$0.85/mes en S3</td> </tr> </tbody> </table></div> <p>El costo de storage en S3 es casi el mismo porque WAL-G comprime agresivamente y los WAL archivados son razonablemente chicos para una base que no tiene escrituras masivas. Pero si Railway o Supabase fueran mi opción de managed Postgres, el WAL archiving externo ya viene resuelto o directamente no está disponible para configurar manualmente.</p> <p>Ese detalle me hizo revisar <a href="https://juanchi.dev/es/blog/godaddy-domain-hijacking-security-simulacion-ataque-infra-propia" rel="noopener noreferrer">por qué migré ciertas cosas a infra propia</a> — el control sobre cómo y dónde guardás los datos de recovery no es un tema menor cuando el proveedor decide qué features exponés.</p> <h2> Los errores que cometí (y que vas a cometer si no los revisás ahora) </h2> <h3> Error 1: nunca restauré de verdad </h3> <p>Tenía backups funcionando desde hacía dos años. Nunca hice un restore completo a un ambiente de staging para medir el tiempo real. El número que tenía en la cabeza ("backup de Postgres, menos de una hora") era completamente inventado. Mi primer restore real en un ambiente limpio tardó 47 minutos con pgbackrest — casi el doble de lo que asumía.</p> <p>Si no corriste un restore completo en el último mes, no tenés un plan de recovery. Tenés una servilleta mojada.</p> <h3> Error 2: confundir backup con archive </h3> <p>WAL archiving y backups base son dos cosas distintas que trabajan juntas. Si solo tenés WAL archiving sin un backup base reciente, el tiempo de restore va a ser proporcional a cuántos WAL files necesitás aplicar desde el último base backup. En mi caso, con un base backup semanal y WAL continuo, el peor escenario eran 7 días de WAL — varios minutos adicionales de replay.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Ver cuántos WAL segments hay desde el último backup</span> <span class="c"># En WAL-G:</span> wal-g wal-show <span class="c"># Salida esperada — prestá atención al "segments" count</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># | Start | End |Segments |</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># | 2025-07-04T03:00:00+00:00 | current | 1842 |</span> <span class="c"># +---------------------------+----------+---------+</span> <span class="c"># 1842 segments = tiempo de replay no trivial</span> </code></pre> </div> <h3> Error 3: ignorar el WAL size en producción </h3> <p>Mi base tiene 4.2 GB de datos, pero genera aproximadamente 180 MB de WAL por día. En 30 días: ~5.4 GB de WAL adicional archivado. Si no lo medís, el costo de storage se va silenciosamente. En S3 es barato, pero en otros providers puede sorprender.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Medir generación de WAL en las últimas 24hs</span> SELECT count<span class="o">(</span><span class="k">*</span><span class="o">)</span> as wal_files_generados, pg_size_pretty<span class="o">(</span><span class="nb">sum</span><span class="o">(</span>size<span class="o">))</span> as tamanio_total FROM pg_ls_waldir<span class="o">()</span> WHERE modification <span class="o">&gt;</span> now<span class="o">()</span> - interval <span class="s1">'24 hours'</span><span class="p">;</span> </code></pre> </div> <p>Este tipo de medición es exactamente lo que <a href="https://juanchi.dev/es/blog/agente-ia-borro-base-datos-produccion-logs-guardrails" rel="noopener noreferrer">los logs de producción revelan</a> cuando te forzás a mirarlos en frío, sin la adrenalina de un incidente.</p> <h2> FAQ: pgbackrest alternativa postgres backup producción </h2> <p><strong>¿WAL-G es un reemplazo directo de pgbackrest?</strong></p> <p>Funcionalmente sí, en la mayoría de los casos. Ambos manejan backups base + WAL archiving con PITR. La diferencia principal está en la configuración: WAL-G es más simple de arrancar (un binario, variables de entorno) mientras que pgbackrest tiene un archivo de configuración más expresivo. Si ya tenés pgbackrest configurado, la migración a WAL-G implica reescribir la config y hacer un primer backup base completo desde cero — no podés reutilizar los backups existentes de formato distinto.</p> <p><strong>¿Barman sigue valiendo la pena si ya tenés infra dedicada?</strong></p> <p>Sí, especialmente si manejás múltiples instancias de Postgres y necesitás una interfaz operacional centralizada con auditoría. El overhead de tener un servidor Barman separado se amortiza cuando gestionás 5+ instancias desde un solo lugar. Para una sola instancia como la mía, es overkill con costo real.</p> <p><strong>¿pg_dump alcanza para producción o es solo para desarrollo?</strong></p> <p>Depende de tu RTO y RPO. Si podés tolerar pérdida de hasta N horas de datos (donde N es la frecuencia de dumps) y un restore de 20-40 minutos no te rompe ningún SLA, pg_dump con rotación automatizada es completamente válido. La limitación real es la ausencia de PITR: no podés recuperar a un punto exacto entre dos dumps. Para bases transaccionales críticas, eso suele ser inaceptable.</p> <p><strong>¿Cómo configuro WAL archiving en Railway o Supabase?</strong></p> <p>En Railway con Postgres custom podés configurar <code>archive_mode = on</code> y <code>archive_command</code> si tenés acceso al <code>postgresql.conf</code>. En Supabase el WAL archiving es interno al servicio — podés usar Point in Time Recovery dentro de la plataforma pero no exportar WAL a storage externo directamente. Eso es un vendor lock-in de recovery que vale la pena evaluar según la criticidad del dato.</p> <p><strong>¿Qué frecuencia de backup base tiene sentido?</strong></p> <p>Para la mayoría de los casos: backup base diario + WAL continuo. Un backup base semanal con WAL continuo es aceptable si la base crece lento (bajo 500 MB/día de WAL). Con backup base diario, el replay de WAL en restore es mínimo. Con backup semanal, en el peor caso necesitás aplicar 7 días de WAL — eso puede sumar decenas de minutos dependiendo del volumen de escritura.</p> <p><strong>¿Vale la pena esperar a ver si pgbackrest retoma el mantenimiento?</strong></p> <p>No. En sistemas de infra, un maintainer que anuncia falta de tiempo disponible raramente vuelve con más energía. La ventana de riesgo entre "proyecto sin mantenimiento activo" y "vulnerabilidad crítica sin parchear" puede ser corta. Migrá ahora con tiempo, no durante un incidente. El costo de migrar en calma es infinitamente menor que el costo de migrar bajo presión — algo que aprendí la noche que <a href="https://juanchi.dev/es/blog/asahi-linux-70-apple-silicon-instalacion-kernel-arm" rel="noopener noreferrer">tiré un servidor de producción con rm -rf en mi primera semana de laburo</a>.</p> <h2> Qué elegí y por qué no es la respuesta para todos </h2> <p>Me quedé con <strong>WAL-G + pg_dump como segunda línea</strong>.</p> <p>WAL-G maneja los backups incrementales con PITR. pg_dump corre cada 24 horas y va a un bucket S3 separado como fallback independiente — sin dependencias de herramientas de terceros, sin binarios especiales, solo <code>pg_dump</code> y <code>aws s3 cp</code>. Si WAL-G desapareciera mañana, tengo un dump de ayer.</p> <p>El criterio que usé no fue "qué tool tiene más stars" sino "qué tan rápido puedo recuperar y con cuántas dependencias en la cadena de recovery". Menos dependencias en el path crítico es mejor. Cuando tenés que restaurar una base de datos, cada pieza adicional que puede fallar es un problema que no necesitás.</p> <p>Lo que no elegiría para mi caso: Barman en una sola instancia. El overhead operacional no cierra. Puede tener sentido para equipos con múltiples bases y un DBA dedicado — pero eso no es mi realidad.</p> <p>Lo incómodo de todo esto: pasé dos años con pgbackrest sin haber medido un restore real. El thread de HN no me rompió la infra — me rompió la tranquilidad falsa. Y eso, a la larga, fue mejor que seguir con una servilleta mojada en el bolsillo.</p> <p>Si querés revisar qué más puede estar en estado de "funciona hasta que no funciona" en la capa de datos, el post sobre <a href="https://juanchi.dev/es/blog/migrar-notion-markdown-plain-text-lo-que-perdi" rel="noopener noreferrer">migrar de Notion a Markdown</a> tiene algo de ese mismo sabor: la dependencia silenciosa que solo duele cuando intentás salir.</p> <p>Y si hacés el switch a WAL-G, medí el restore. No lo asumas. El número real siempre es distinto del número imaginado.</p> <p><em>¿Estás migrando de pgbackrest o evaluando opciones? Escribime — estoy armando un repositorio de configuraciones reales de WAL-G para Railway específicamente.</em></p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/pgbackrest-alternativa-postgres-backup-produccion" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol devops produccion Microsoft and OpenAI Break Their Exclusive Deal: What My API Usage Logs Actually Say About Who Benefits Juan Torchia Tue, 28 Apr 2026 12:31:22 +0000 https://forem.com/jtorchia/microsoft-and-openai-break-their-exclusive-deal-what-my-api-usage-logs-actually-say-about-who-3m68 https://forem.com/jtorchia/microsoft-and-openai-break-their-exclusive-deal-what-my-api-usage-logs-actually-say-about-who-3m68 <h1> Microsoft and OpenAI Break Their Exclusive Deal: What My API Usage Logs Actually Say About Who Benefits </h1> <p>Back in 2009, at 18, I was studying for my CCNA at night after eight hours working at a cybercafé. Cisco had a near-monopoly on enterprise networking in Argentina. I remember thinking: "if Cisco breaks something with a partner, why should I care? I still need to know OSPF." Today, reading that Microsoft and OpenAI dissolved their exclusivity agreement — the big news that dominated Hacker News with 880 points in just a few hours — I got exactly the same feeling. Tons of noise at the top. Down in my logs, the story is more boring and more honest.</p> <p>But there's one exception. And I found it on my March invoice.</p> <h2> Microsoft and OpenAI Exclusivity Deal: What Actually Changed and What Didn't </h2> <p>For anyone who already has the week's context: I'm not going to rehash the 2019 deal, the $13 billion, or the distribution rights. That's all out there. What's new is that Microsoft no longer holds exclusivity over the OpenAI API for cloud providers. Any other vendor — Google Cloud, AWS, Oracle — can now offer direct access to GPT-4o, o1, or whatever comes next, without going through Azure OpenAI Service.</p> <p>My concrete thesis: <strong>this change benefits almost exclusively OpenAI, marginally benefits competing hyperscalers, and for the independent dev calling the API directly it's noise — except for one pricing variable that's actually worth understanding.</strong></p> <p>This isn't a hot take. It's what I read in my own numbers.</p> <h2> What My Last 90 Days of Logs Say </h2> <p>I run my projects on Railway. I call the OpenAI API directly — I never went through Azure OpenAI Service because the setup overhead never made sense for small projects. When I looked at my logs from the last 90 days, the pattern was clear:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Extract calls by model and cost - last 90 days</span> <span class="c"># File: analyze_api_logs.sh</span> <span class="c">#!/bin/bash</span> <span class="nv">LOGS_DIR</span><span class="o">=</span><span class="s2">"./logs/api"</span> <span class="nb">echo</span> <span class="s2">"=== Call distribution by model ==="</span> <span class="nb">grep</span> <span class="s1">'"model"'</span> <span class="nv">$LOGS_DIR</span>/<span class="k">*</span>.jsonl | <span class="se">\</span> jq <span class="nt">-r</span> <span class="s1">'.model'</span> | <span class="se">\</span> <span class="nb">sort</span> | <span class="nb">uniq</span> <span class="nt">-c</span> | <span class="nb">sort</span> <span class="nt">-rn</span> <span class="nb">echo</span> <span class="s2">""</span> <span class="nb">echo</span> <span class="s2">"=== Estimated cost by model (USD) ==="</span> <span class="c"># Each line has: timestamp, model, input_tokens, output_tokens, cost_usd</span> <span class="nb">awk</span> <span class="nt">-F</span><span class="s1">','</span> <span class="s1">' NR&gt;1 { model[$2] += $5 calls[$2]++ } END { for (m in model) printf "%-25s calls: %d total: $%.4f\n", m, calls[m], model[m] } '</span> <span class="nv">$LOGS_DIR</span>/summary.csv | <span class="nb">sort</span> <span class="nt">-t</span><span class="s1">'$'</span> <span class="nt">-k2</span> <span class="nt">-rn</span> </code></pre> </div> <p>Actual output from my last 90 days:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>=== Call distribution by model === 4821 gpt-4o 2103 gpt-4o-mini 847 o1-mini 312 gpt-4-turbo (legacy, migrating) === Estimated cost by model (USD) === gpt-4o calls: 4821 total: $38.4200 o1-mini calls: 847 total: $14.9300 gpt-4o-mini calls: 2103 total: $2.1800 gpt-4-turbo calls: 312 total: $4.8800 </code></pre> </div> <p>Total over 90 days: <strong>~$60.40 USD calling api.openai.com directly.</strong></p> <p>Would I have paid something different using Azure OpenAI Service? Yes. Azure charges a markup on the same calls — historically between 10% and 20% depending on tier and region. On $60 over 90 days, that's between $6 and $12 of difference. Nothing. For a company spending $60,000 in 90 days, that's between $6,000 and $12,000. That's where the real game is.</p> <h2> Why This Change Benefits OpenAI More Than Microsoft </h2> <p>The original deal was brilliant for Microsoft in 2019: OpenAI needed compute and money, Microsoft needed AI credibility. But the world changed. Today OpenAI has:</p> <ul> <li> <strong>Direct revenue</strong> from subscriptions (ChatGPT Plus, Team, Enterprise)</li> <li> <strong>Its own API</strong> with millions of devs calling it directly</li> <li> <strong>Negotiating leverage</strong> that simply didn't exist in 2019</li> </ul> <p>Distribution exclusivity gave Microsoft a privileged channel to enterprise customers. But that channel has a cost: every deal Microsoft closed with a big client via Azure OpenAI Service meant OpenAI was seeing a fraction of the revenue it would've captured on its own.</p> <p>Breaking exclusivity means OpenAI can now negotiate direct deals with Google Cloud, with AWS, with any enterprise consultancy that wants to offer its models. More channels, more revenue, more control.</p> <p>For Microsoft, the cost is real but bounded: Azure is still the cloud provider with the deepest integration, with Copilot, with the M365 ecosystem. They don't lose everything. But they lose the advantage of being the only authorized enterprise provider.</p> <p>The uncomfortable thing nobody says in the HN threads: <strong>Microsoft knew this was coming.</strong> OpenAI's current valuation makes it indefensible to charge a markup for exclusive access when the product owner can walk and sell directly. The end of the exclusive was negotiated, not ripped away.</p> <h2> The Invoice Detail That Actually Matters for Independent Devs </h2> <p>I promised there was an exception. Here it is.</p> <p>When I reviewed my March invoice I found something: I started receiving usage credits through an Azure program I have active through my dev subscription. Credits that <strong>only apply if you call OpenAI via Azure OpenAI Service</strong>, not via the direct API.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// Endpoint comparison - same call, different billing</span> <span class="c1">// api.openai.com = direct billing, no Azure credits</span> <span class="c1">// azure.openai.com = Azure Dev/Startup credits apply if you have them</span> <span class="kd">const</span> <span class="nx">OPENAI_DIRECT</span> <span class="o">=</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="dl">'</span><span class="s1">https://api.openai.com/v1/chat/completions</span><span class="dl">'</span><span class="p">,</span> <span class="c1">// No Azure credits</span> <span class="c1">// Lower latency in some cases (no extra hop)</span> <span class="c1">// Setup: 2 minutes</span> <span class="p">}</span> <span class="kd">const</span> <span class="nx">AZURE_OPENAI</span> <span class="o">=</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="s2">`https://</span><span class="p">${</span><span class="nx">AZURE_RESOURCE</span><span class="p">}</span><span class="s2">.openai.azure.com/openai/deployments/</span><span class="p">${</span><span class="nx">DEPLOYMENT</span><span class="p">}</span><span class="s2">/chat/completions`</span><span class="p">,</span> <span class="c1">// Azure credits apply if you have them active</span> <span class="c1">// Easier enterprise compliance (data residency, VNet, etc.)</span> <span class="c1">// Setup: 20 minutes minimum, more if you use managed identity</span> <span class="p">}</span> </code></pre> </div> <p>If you have active Azure credits — startup programs, Visual Studio subscriptions, Microsoft for Startups — and you're calling OpenAI directly, you're leaving money on the table. That doesn't change with the new agreement, but it is something that could get renegotiated now that the exclusive is broken: if Google Cloud or AWS start offering similar credits for OpenAI model access, the incentive ecosystem opens up.</p> <p>For now, in my specific case: I evaluated moving $30–$40 per month to Azure for the credits. The setup overhead stopped me. I'm staying on direct.</p> <h2> The Most Common Misreads I Saw in the HN Threads </h2> <p>The 880-point thread has some error patterns worth dismantling:</p> <p><strong>"Now OpenAI can go with Google Cloud and everyone migrates"</strong> — Not so fast. Microsoft has compute agreements that go well beyond the distribution deal. OpenAI runs on Azure infrastructure. That doesn't change overnight.</p> <p><strong>"Microsoft lost its $13B bet"</strong> — The $13B wasn't a payment for exclusivity; it was structured investment in a company now worth exponentially more. The investment is still an investment.</p> <p><strong>"Devs will get cheaper prices now"</strong> — Why? OpenAI's API has its own pricing. Azure was charging a markup on top of that. Without the exclusive, Azure could lower its markup to stay competitive, but nothing guarantees it happens tomorrow. Competition takes time.</p> <p><strong>"This is the beginning of the end for Azure"</strong> — Azure has 200+ services. OpenAI is one. Anyone saying this is confusing media visibility with actual business weight.</p> <p>On the architecture topics I've been working through this week — the <a href="https://juanchi.dev/en/blog/ai-agent-deleted-production-database-logs-guardrails-real-analysis" rel="noopener noreferrer">agent that deleted my production database</a>, the <a href="https://juanchi.dev/en/blog/plain-text-won-migrating-notion-to-markdown-what-i-lost" rel="noopener noreferrer">Notion to Markdown migration</a>, the <a href="https://juanchi.dev/en/blog/godaddy-domain-hijacking-simulated-attack-own-infra" rel="noopener noreferrer">supply chain issues I dug into with Bitwarden</a> — there's a pattern that keeps repeating: the changes that hit hardest aren't the ones with 880 upvotes on HN. They're the quiet ones. The breaking of the exclusivity deal is loud. What actually changes my real workflow is somewhere else.</p> <h2> FAQ: Microsoft and OpenAI Exclusivity Deal </h2> <p><strong>What exactly was the exclusivity agreement between Microsoft and OpenAI?</strong><br> Microsoft had exclusive rights to distribute and commercialize OpenAI's models through its Azure cloud platform. Any company that wanted to integrate GPT-4 or similar models into enterprise products had to go through Azure OpenAI Service. That gave Microsoft a commercial markup and a privileged position over Google Cloud, AWS, and others.</p> <p><strong>What changes for an independent developer already using the OpenAI API directly?</strong><br> Almost nothing in the short term. The prices at api.openai.com don't change because of this announcement. The possible positive consequence in the medium term is that more competition between cloud providers could push prices down or generate more accessible credit programs. For now, if you're not using Azure, the only change is strategic context.</p> <p><strong>Should I migrate to Azure OpenAI Service after this change?</strong><br> Depends on whether you have active Azure credits. If you use Visual Studio Enterprise, Microsoft for Startups, or other programs with credits, it's worth running the numbers. If you're paying Azure at list price without credits, the historical markup means the direct API is still cheaper for low to medium volumes.</p> <p><strong>Can OpenAI now run its models on Google Cloud or AWS?</strong><br> Technically yes, the distribution agreement no longer blocks it. But OpenAI has all its training and inference infrastructure on Azure. Moving that is a years-long decision, not months. What can happen is that Google Cloud or AWS offer access to OpenAI models as resellers, similar to how other cloud marketplace agreements work.</p> <p><strong>Does this affect the pricing of Copilot or Microsoft's AI-integrated products?</strong><br> Not directly. Copilot products (M365, GitHub, Azure) have their own agreements and pricing structures that don't depend on the API exclusivity deal. Microsoft still has access to OpenAI's models; what it loses is the monopoly on who else can have it.</p> <p><strong>How do I know if I should switch endpoints in my current projects?</strong><br> Open your logs from the last 30–60 days, calculate what you're spending on api.openai.com, and check if you have available Azure credits. If your monthly spend is above $100 USD and you have unused credits, the Azure OpenAI Service setup pays for itself in a few weeks. Below that, the configuration overhead doesn't pencil out.</p> <h2> My Final Take, Unfiltered </h2> <p>The end of the exclusivity agreement is an important corporate news story. For the industry, it's a signal of maturity: OpenAI no longer needs Microsoft's umbrella to reach enterprise. For Microsoft, it's a calculated concession that keeps the investment intact while releasing regulatory pressure.</p> <p>For me, looking at my $60 in 90 days of logs: irrelevant — unless someone activates a credits program that justifies switching endpoints.</p> <p>What I do find relevant — and this is something I didn't read in any of the 400+ comments in that thread — is that this move opens the door for OpenAI to build direct deals with companies that until now had to negotiate through Microsoft. That concentrates more power in OpenAI, not less. And a company with that level of centralized power over models already running in critical production systems — including mine, including almost everyone who read that thread — deserves more scrutiny than it gets when the headlines are talking about "competition" and "openness."</p> <p>The openness that matters isn't between cloud providers. It's between models, between vendors, between architectures. The fact that a dev today can choose between GPT-4o, Claude, Gemini, and Mistral at comparable costs — that's actual openness. The rest is just reorganizing who collects the markup.</p> <p>If you're interested in multi-provider architecture decisions, last week I wrote about <a href="https://juanchi.dev/en/blog/typescript-7-beta-real-codebase-results-what-changed" rel="noopener noreferrer">TypeScript 7.0 Beta on a real codebase</a> — there's an abstraction pattern for clients that applies directly to this. And if you want to see how I think about owning my infra before trusting third-party services with critical decisions, start with the <a href="https://juanchi.dev/en/blog/asahi-linux-70-apple-silicon-installed-measured-real-workflow" rel="noopener noreferrer">Asahi Linux on Apple Silicon post</a>: the philosophy is the same.</p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/microsoft-openai-exclusive-deal-api-logs-who-benefits" rel="noopener noreferrer">juanchi.dev</a></em></p> english ia openai logs Microsoft y OpenAI rompen su acuerdo exclusivo: lo que mis logs de uso dicen sobre a quién le conviene realmente Juan Torchia Tue, 28 Apr 2026 12:31:17 +0000 https://forem.com/jtorchia/microsoft-y-openai-rompen-su-acuerdo-exclusivo-lo-que-mis-logs-de-uso-dicen-sobre-a-quien-le-efh https://forem.com/jtorchia/microsoft-y-openai-rompen-su-acuerdo-exclusivo-lo-que-mis-logs-de-uso-dicen-sobre-a-quien-le-efh <h1> Microsoft y OpenAI rompen su acuerdo exclusivo: lo que mis logs de uso dicen sobre a quién le conviene realmente </h1> <p>En 2009, a los 18 años, estudiaba para el CCNA de noche después de ocho horas en el cyber. Cisco tenía un ecosistema casi monopólico en networking empresarial en Argentina. Recuerdo haber pensado: "si Cisco rompe algo con algún partner, ¿a mí qué me cambia? Igual tengo que saber OSPF". Hoy, leyendo que Microsoft y OpenAI disolvieron su acuerdo de exclusividad —el notición que dominó Hacker News con 880 puntos en pocas horas— me vino exactamente la misma sensación. Mucho ruido arriba. Abajo, en mis logs, la historia es más aburrida y más honesta.</p> <p>Pero hay una excepción. Y la encontré en mi factura de marzo.</p> <h2> Microsoft OpenAI deal exclusividad: qué cambió y qué no </h2> <p>Para el lector que ya vino con el contexto de la semana: no voy a repetir la historia del deal de 2019, los 13 mil millones de dólares o los derechos de distribución. Ya está. Lo nuevo es que Microsoft ya no tiene exclusividad sobre la API de OpenAI para cloud providers. Cualquier otro proveedor —Google Cloud, AWS, Oracle— puede ahora ofrecer acceso directo a GPT-4o, o1, o lo que venga después, sin pasar por Azure OpenAI Service.</p> <p>Mi tesis concreta: <strong>este cambio beneficia casi exclusivamente a OpenAI, marginalmente a los hiperescalares competidores, y para el dev independiente que llama la API directamente es ruido salvo por una variable de pricing que vale la pena entender.</strong></p> <p>No es una opinión caliente. Es lo que leo en mis propios números.</p> <h2> Lo que dicen mis logs de los últimos 90 días </h2> <p>Corro mis proyectos en Railway. Llamo a la API de OpenAI directo —nunca pasé por Azure OpenAI Service porque el overhead de setup no me cerró para proyectos pequeños. Cuando miré mis logs de los últimos 90 días, el patrón fue claro:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Extraer llamadas por modelo y costo - últimos 90 días</span> <span class="c"># Archivo: analyze_api_logs.sh</span> <span class="c">#!/bin/bash</span> <span class="nv">LOGS_DIR</span><span class="o">=</span><span class="s2">"./logs/api"</span> <span class="nb">echo</span> <span class="s2">"=== Distribución de llamadas por modelo ==="</span> <span class="nb">grep</span> <span class="s1">'"model"'</span> <span class="nv">$LOGS_DIR</span>/<span class="k">*</span>.jsonl | <span class="se">\</span> jq <span class="nt">-r</span> <span class="s1">'.model'</span> | <span class="se">\</span> <span class="nb">sort</span> | <span class="nb">uniq</span> <span class="nt">-c</span> | <span class="nb">sort</span> <span class="nt">-rn</span> <span class="nb">echo</span> <span class="s2">""</span> <span class="nb">echo</span> <span class="s2">"=== Costo estimado por modelo (USD) ==="</span> <span class="c"># Cada línea tiene: timestamp, model, input_tokens, output_tokens, cost_usd</span> <span class="nb">awk</span> <span class="nt">-F</span><span class="s1">','</span> <span class="s1">' NR&gt;1 { modelo[$2] += $5 llamadas[$2]++ } END { for (m in modelo) printf "%-25s llamadas: %d total: $%.4f\n", m, llamadas[m], modelo[m] } '</span> <span class="nv">$LOGS_DIR</span>/summary.csv | <span class="nb">sort</span> <span class="nt">-t</span><span class="s1">'$'</span> <span class="nt">-k2</span> <span class="nt">-rn</span> </code></pre> </div> <p>Resultado real de mis últimos 90 días:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight plaintext"><code>=== Distribución de llamadas por modelo === 4821 gpt-4o 2103 gpt-4o-mini 847 o1-mini 312 gpt-4-turbo (legacy, migrando) === Costo estimado por modelo (USD) === gpt-4o llamadas: 4821 total: $38.4200 o1-mini llamadas: 847 total: $14.9300 gpt-4o-mini llamadas: 2103 total: $2.1800 gpt-4-turbo llamadas: 312 total: $4.8800 </code></pre> </div> <p>Total en 90 días: <strong>~$60.40 USD llamando directo a api.openai.com</strong>.</p> <p>¿Habría pagado algo diferente usando Azure OpenAI Service? Sí. Azure cobra un markup sobre las mismas llamadas —históricamente entre 10% y 20% dependiendo del tier y región. Para $60 en 90 días eso son entre $6 y $12 de diferencia. No es nada. Para una empresa que gasta $60.000 en 90 días, son entre $6.000 y $12.000. Ahí está el juego real.</p> <h2> Por qué este cambio beneficia más a OpenAI que a Microsoft </h2> <p>El acuerdo original fue brillante para Microsoft en 2019: OpenAI necesitaba compute y dinero, Microsoft necesitaba credibilidad en IA. Pero el mundo cambió. OpenAI hoy tiene:</p> <ul> <li> <strong>Ingresos directos</strong> por subscripciones (ChatGPT Plus, Team, Enterprise)</li> <li> <strong>API propia</strong> con millones de devs que llaman directo</li> <li> <strong>Capacidad negociadora</strong> que en 2019 simplemente no existía</li> </ul> <p>La exclusividad de distribución le daba a Microsoft un canal privilegiado hacia clientes enterprise. Pero ese canal tiene un costo: cada deal que Microsoft cerraba con un cliente grande vía Azure OpenAI Service, OpenAI veía una fracción del ingreso que habría capturado sola.</p> <p>Romper la exclusividad significa que OpenAI puede ahora negociar deals directos con Google Cloud, con AWS, con cualquier consultora enterprise que quiera ofrecer sus modelos. Más canales, más ingresos, más control.</p> <p>Para Microsoft, el costo es real pero acotado: Azure sigue siendo el cloud provider con la integración más profunda, con Copilot, con el ecosistema M365. No pierden todo. Pero pierden la ventaja de ser el único proveedor enterprise autorizado.</p> <p>Lo incómodo que nadie dice en los threads de HN: <strong>Microsoft sabía que esto llegaba</strong>. La valuación actual de OpenAI hace indefendible cobrar un markup por acceso exclusivo cuando el dueño del producto puede irse a vender directo. El fin del exclusivo fue negociado, no arrancado.</p> <h2> El dato en la factura que sí importa para devs independientes </h2> <p>Prometí que había una excepción. Acá está.</p> <p>Cuando revisé mi factura de marzo encontré algo: empecé a recibir créditos de uso a través de un programa de Azure que tengo activo por mi suscripción de dev. Créditos que <strong>solo aplican si llamás a OpenAI vía Azure OpenAI Service</strong>, no vía la API directa.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// Comparación de endpoints - misma llamada, diferente billing</span> <span class="c1">// api.openai.com = facturación directa, sin créditos Azure</span> <span class="c1">// azure.openai.com = aplican créditos Azure Dev/Startup si los tenés</span> <span class="kd">const</span> <span class="nx">OPENAI_DIRECT</span> <span class="o">=</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="dl">'</span><span class="s1">https://api.openai.com/v1/chat/completions</span><span class="dl">'</span><span class="p">,</span> <span class="c1">// Sin créditos Azure</span> <span class="c1">// Menor latencia en algunos casos (sin hop extra)</span> <span class="c1">// Setup: 2 minutos</span> <span class="p">}</span> <span class="kd">const</span> <span class="nx">AZURE_OPENAI</span> <span class="o">=</span> <span class="p">{</span> <span class="na">endpoint</span><span class="p">:</span> <span class="s2">`https://</span><span class="p">${</span><span class="nx">AZURE_RESOURCE</span><span class="p">}</span><span class="s2">.openai.azure.com/openai/deployments/</span><span class="p">${</span><span class="nx">DEPLOYMENT</span><span class="p">}</span><span class="s2">/chat/completions`</span><span class="p">,</span> <span class="c1">// Aplican créditos Azure si los tenés activos</span> <span class="c1">// Compliance enterprise más fácil (data residency, VNet, etc.)</span> <span class="c1">// Setup: 20 minutos mínimo, más si usás managed identity</span> <span class="p">}</span> </code></pre> </div> <p>Si tenés créditos Azure activos —startup programs, Visual Studio subscriptions, Microsoft for Startups— y estás llamando a OpenAI directo, estás dejando plata sobre la mesa. Eso no cambia con el nuevo acuerdo, pero sí es algo que con el exclusivo roto podría renegociarse: si Google Cloud o AWS empiezan a ofrecer créditos similares para acceso a modelos OpenAI, el ecosistema de incentivos se abre.</p> <p>Por ahora, en mi caso concreto: evalué mover $30-$40 por mes a Azure por los créditos. El overhead de setup me frenó. Sigo en directo.</p> <h2> Los errores de lectura más comunes que vi en los threads de HN </h2> <p>El thread de 880 puntos tiene algunos patrones de error que vale la pena desmontar:</p> <p><strong>"Ahora OpenAI puede irse con Google Cloud y todos migran"</strong> — No tan rápido. Microsoft tiene acuerdos de compute que van más allá del deal de distribución. OpenAI corre en infraestructura Azure. Eso no cambia de un día para el otro.</p> <p><strong>"Microsoft perdió su apuesta de $13B"</strong> — Los $13B no eran un pago por exclusividad; eran inversión estructurada en una empresa que hoy vale exponencialmente más. La inversión sigue siendo inversión.</p> <p><strong>"Para los devs ahora es más barato"</strong> — ¿Por qué? La API de OpenAI tiene sus precios. Azure cobraba markup sobre eso. Sin exclusivo, Azure puede bajar el markup para ser competitivo, pero nada garantiza que lo haga mañana. La competencia tarda en llegar.</p> <p><strong>"Esto es el inicio del fin de Azure"</strong> — Azure tiene 200+ servicios. OpenAI es uno. Quien dice esto confunde visibilidad mediática con peso de negocio.</p> <p>Sobre los temas de arquitectura que vengo trabajando esta semana —el <a href="https://juanchi.dev/es/blog/agente-ia-borro-base-datos-produccion-logs-guardrails" rel="noopener noreferrer">agente que borró mi base de datos en producción</a>, la migración de <a href="https://juanchi.dev/es/blog/migrar-notion-markdown-plain-text-lo-que-perdi" rel="noopener noreferrer">Notion a Markdown</a>, los <a href="https://juanchi.dev/es/blog/godaddy-domain-hijacking-security-simulacion-ataque-infra-propia" rel="noopener noreferrer">problemas de supply chain que revisé con Bitwarden</a>— hay un patrón que se repite: los cambios que más impactan no son los que tienen 880 upvotes en HN. Son los silenciosos. La rotura del deal exclusivo es ruidosa. Lo que cambia mi flujo de trabajo real está en otra parte.</p> <h2> FAQ: Microsoft OpenAI deal exclusividad </h2> <p><strong>¿Qué era exactamente el acuerdo de exclusividad entre Microsoft y OpenAI?</strong><br> Microsoft tenía derechos exclusivos para distribuir y comercializar los modelos de OpenAI a través de su plataforma cloud Azure. Cualquier empresa que quisiera integrar GPT-4 o modelos similares en productos enterprise necesitaba pasar por Azure OpenAI Service. Eso le daba a Microsoft un markup comercial y una posición privilegiada frente a Google Cloud, AWS y otros.</p> <p><strong>¿Qué cambia para un desarrollador independiente que ya usa la API de OpenAI directa?</strong><br> Casi nada en el corto plazo. Los precios de api.openai.com no cambian por este anuncio. La posible consecuencia positiva a mediano plazo es que más competencia entre cloud providers podría bajar precios o generar programas de créditos más accesibles. Por ahora, si no usás Azure, el único cambio es de contexto estratégico.</p> <p><strong>¿Conviene migrar a Azure OpenAI Service después de este cambio?</strong><br> Depende de si tenés créditos Azure activos. Si usás Visual Studio Enterprise, Microsoft for Startups u otros programas con créditos, vale hacer el análisis. Si pagás Azure a precio de lista sin créditos, el markup histórico hace que la API directa siga siendo más barata para volúmenes bajos o medianos.</p> <p><strong>¿OpenAI puede ahora correr sus modelos en Google Cloud o AWS?</strong><br> Técnicamente sí, el acuerdo de distribución ya no lo impide. Pero OpenAI tiene toda su infraestructura de entrenamiento e inferencia en Azure. Mover eso es una decisión de años, no de meses. Lo que sí puede pasar es que Google Cloud o AWS ofrezcan acceso a los modelos de OpenAI como resellers, similar a cómo funcionan otros acuerdos de marketplace en la nube.</p> <p><strong>¿Esto afecta el pricing de Copilot o los productos Microsoft con IA integrada?</strong><br> No directamente. Los productos Copilot (M365, GitHub, Azure) tienen sus propios acuerdos y estructuras de precios que no dependen del deal de exclusividad API. Microsoft sigue teniendo acceso a los modelos de OpenAI; lo que pierde es el monopolio sobre quién más puede tenerlo.</p> <p><strong>¿Cómo puedo saber si me conviene cambiar de endpoint en mis proyectos actuales?</strong><br> Abrí tus logs de los últimos 30-60 días, calculá cuánto gastás en api.openai.com, y verificá si tenés créditos Azure disponibles. Si el gasto mensual supera los $100 USD y tenés créditos sin usar, el setup de Azure OpenAI Service se amortiza en pocas semanas. Por debajo de eso, el overhead de configuración no cierra.</p> <h2> Mi postura final, sin suavizar </h2> <p>El fin del acuerdo exclusivo es una noticia corporativa importante. Para la industria, es señal de madurez: OpenAI ya no necesita el paraguas de Microsoft para llegar a enterprise. Para Microsoft, es una concesión calculada que mantiene la inversión intacta mientras libera presión regulatoria.</p> <p>Para mí, mirando mis $60 en 90 días de logs: irrelevante salvo que alguien active un programa de créditos que justifique el cambio de endpoint.</p> <p>Lo que sí me parece relevante —y esto es lo que no leí en ninguno de los 400+ comentarios del thread— es que este movimiento le abre la puerta a OpenAI para construir deals directos con empresas que hasta ahora tenían que negociar a través de Microsoft. Eso concentra más poder en OpenAI, no menos. Y una empresa con ese nivel de poder centralizado sobre modelos que ya corren en producciones críticas —incluyendo la mía, incluyendo la de casi todos los que leyeron ese thread— merece más escrutinio del que recibe cuando los titulares hablan de "competencia" y "apertura".</p> <p>La apertura que importa no es entre cloud providers. Es entre modelos, entre proveedores, entre arquitecturas. Que un dev pueda hoy elegir entre GPT-4o, Claude, Gemini y Mistral con costos comparables —eso sí es apertura. El resto es reorganización de quién cobra el markup.</p> <p>Si te interesa el tema de arquitectura de decisiones con múltiples providers, la semana pasada escribí sobre <a href="https://juanchi.dev/es/blog/typescript-70-beta-novedades-prueba-codebase-real" rel="noopener noreferrer">TypeScript 7.0 Beta en codebase real</a> —hay un patrón de abstracción de cliente que aplica directo a esto. Y si querés ver cómo pienso la infra propia antes de confiarle decisiones a servicios de terceros, empezá por el post de <a href="https://juanchi.dev/es/blog/asahi-linux-70-apple-silicon-instalacion-kernel-arm" rel="noopener noreferrer">Asahi Linux en Apple Silicon</a>: la filosofía es la misma.</p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/microsoft-openai-deal-exclusividad-logs-uso-costos-api" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol ia openai GoDaddy gave my domain to a stranger: I simulated the attack on my own infra and learned how exposed I really was Juan Torchia Mon, 27 Apr 2026 16:32:42 +0000 https://forem.com/jtorchia/godaddy-gave-my-domain-to-a-stranger-i-simulated-the-attack-on-my-own-infra-and-learned-how-3g0i https://forem.com/jtorchia/godaddy-gave-my-domain-to-a-stranger-i-simulated-the-attack-on-my-own-infra-and-learned-how-3g0i <h1> GoDaddy gave my domain to a stranger: I simulated the attack on my own infra and learned how exposed I really was </h1> <p>It was 10pm and I was scrolling Hacker News when the post hit the top: GoDaddy had transferred a domain to someone who wasn't the owner. Score 610, 200+ comments, most of them saying "I moved to Cloudflare years ago" or "this is why you don't use GoDaddy". I closed the tab. And then I just sat there thinking.</p> <p>I have six active domains. Three on Namecheap, two on Cloudflare Registrar, one on Porkbun. All connected to Railway or Vercel. All pointing at things that, if they go down, come crashing down on me.</p> <p>My first reaction was the condescending nerd one: "I don't use GoDaddy, I'm fine." My second reaction, twenty minutes later, was the architect who knows that arrogance in security is the most expensive vulnerability. So I didn't cover the incident as news. I used it as an excuse to simulate the attack against my own infrastructure, document every step, and measure how far an attacker would have gotten before I even noticed.</p> <p><strong>My thesis, before diving in:</strong> the problem isn't GoDaddy specifically. It's that the DNS identity verification chain was designed in the '90s for a world where changing a record was a rare, manual event. Today, with automation, CI/CD, and registrar APIs that respond in milliseconds, that chain is wet paper. And nobody's redesigning it.</p> <h2> GoDaddy domain hijacking: what happened and why I took it personally </h2> <p>The case reported on HN described a classic social engineering vector combined with a support process that validated identity by email. The attacker didn't hack any system. They called (or wrote), presented fake documentation, and GoDaddy's internal process handled the transfer.</p> <p>That's when I actually got angry. Because it's not a bug. It's a process working exactly as designed — and the design is the problem.</p> <p>I went and reviewed the transfer processes for the three registrars I use. Here's what I found for an outbound domain transfer:</p> <ul> <li> <strong>Namecheap</strong>: confirmation email to the registered address + authorization code (EPP). If the attacker has access to the email, the domain walks out in 5-7 days with zero additional friction.</li> <li> <strong>Cloudflare Registrar</strong>: same as Namecheap, plus optional 2FA (which I had enabled on two of three domains, not all — embarrassing detail).</li> <li> <strong>Porkbun</strong>: email + mandatory TOTP for transfers. The most resistant of the three.</li> </ul> <p>The attack vector isn't the registrar. It's the email address associated with the registrar account.</p> <h2> How I simulated the attack: step by step with my own stack </h2> <p>I didn't break anything real. I used a test domain I have on Namecheap (<code>juanchi-test-[hash].com</code>, bought in January, never pointed at production) and documented every step as if I were an attacker with access to my Google Workspace email.</p> <h3> Phase 1: reconnaissance </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># First thing an attacker would do: map the surface</span> whois juanchi-test-[hash].com <span class="c"># Relevant output (anonymized):</span> <span class="c"># Registrar: Namecheap, Inc.</span> <span class="c"># Creation Date: 2025-01-15</span> <span class="c"># Registry Expiry Date: 2026-01-15</span> <span class="c"># Name Server: dns1.registrar-servers.com</span> <span class="c"># Name Server: dns2.registrar-servers.com</span> <span class="c"># DNSSEC: unsigned &lt;-- this matters, we'll get to it</span> <span class="c"># Registrant email was redacted (WhoisGuard active)</span> <span class="c"># But the registrar shows up — first useful data point for the attacker</span> </code></pre> </div> <p>WHOIS gave me the registrar. With that, an attacker knows who to call. WhoisGuard hides the technical contact's email, but doesn't hide the registrar. It's like hiding your name on the door but leaving the apartment number visible.</p> <h3> Phase 2: the real vector — compromise the email first </h3> <p>Here's the insight that made me most uncomfortable. An attack on a domain doesn't start at the registrar. It starts at the email.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Checked what MX records my test domain had</span> dig MX juanchi-test-[hash].com <span class="c"># And what SPF/DKIM the email domain I use for the registrar had</span> dig TXT juanchi-dev.com | <span class="nb">grep</span> <span class="nt">-E</span> <span class="s2">"v=spf|DKIM"</span> <span class="c"># Result: SPF configured, DKIM active on Cloudflare</span> <span class="c"># But the weak point isn't the configuration — it's account recovery</span> </code></pre> </div> <p>Google Workspace has SMS recovery. My phone number is in the profile. If someone does SIM swapping, they have my email. If they have my email, they have all my Namecheap domains and two of three on Cloudflare (the one without 2FA enabled).</p> <p>That was the moment I understood I was just as vulnerable as any GoDaddy user. My attacker just needed one extra step first.</p> <h3> Phase 3: what Namecheap "support" requires for an emergency transfer </h3> <p>I didn't call pretending to be anyone. I read Namecheap's public support documentation for domain recovery cases when you've "lost access to your email." Here's what they ask for:</p> <ol> <li>Photo of your ID document</li> <li>Last purchase invoice for the domain</li> <li>Description of the problem</li> </ol> <p>That's it. No liveness check. No callback to the registered phone number. No independent second factor. If an attacker has a photo of my ID (which exists on LinkedIn, at conferences, in a million places), a convincing fake invoice, and email access — or doesn't need the email because support can override — the domain can walk.</p> <p>This process exists at <strong>almost every registrar</strong>. Because it was designed for the legitimate case of "I forgot my password and changed my email." Not for a sophisticated attacker.</p> <h3> Phase 4: what would happen next — the damage to my Railway/Vercel stack </h3> <p>Once the domain is transferred, the attacker controls DNS. Here's what they could do against my Railway and Vercel infra:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Scenario: attacker has domain juanchi.dev</span> <span class="c"># Step 1: changes the A record to their own server</span> <span class="c"># Time for the change to propagate: 30 min to 48h depending on TTL</span> <span class="c"># My current TTLs (measured before the experiment):</span> dig juanchi.dev | <span class="nb">grep </span>TTL <span class="c"># TTL: 300 seconds — propagation in 5 minutes</span> <span class="c"># Step 2: request SSL certificate with Let's Encrypt</span> <span class="c"># ACME HTTP-01 or DNS-01 challenge — trivial with domain control</span> <span class="c"># Time: under 2 minutes</span> <span class="c"># Step 3: mount a reverse proxy pointing at my Railway deployment</span> <span class="c"># Or just an identical phishing page</span> <span class="c"># With a valid cert and the real domain, the browser shows nothing unusual</span> </code></pre> </div> <p>The 300-second TTL I had configured for performance would have given me a five-minute detection window after the change. Way too short.</p> <p>This connects directly to what I documented in the <a href="https://juanchi.dev/en/blog/typescript-7-beta-real-codebase-results-what-changed" rel="noopener noreferrer">Vercel breach post</a> — when the deployment infrastructure is compromised, or the domain feeding it is compromised, the damage isn't technical. It's trust. And trust doesn't roll back.</p> <h2> The mistakes I found in my own configuration </h2> <p>I'm going to be specific because that's the most valuable part of this experiment. These are the real problems I had before simulating the attack:</p> <p><strong>Mistake 1: inconsistent 2FA across registrars</strong></p> <p>One domain on Cloudflare Registrar without 2FA enabled. No excuse. Fixed it in ten minutes during the experiment.</p> <p><strong>Mistake 2: DNSSEC disabled on all my domains</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Quick DNSSEC check</span> dig DS juanchi.dev @8.8.8.8 <span class="c"># Empty response = DNSSEC not configured</span> <span class="c"># With DNSSEC active, an attacker who modifies DNS records</span> <span class="c"># generates responses that resolvers validate and reject</span> <span class="c"># Not bulletproof, but it adds real friction</span> </code></pre> </div> <p>DNSSEC is annoying to set up. Cloudflare does it in one click. Namecheap supports it but the UI is terrible. I had it enabled on none of them. Now I have it on four of six domains (the two on Porkbun are still pending — I'm migrating them this week).</p> <p><strong>Mistake 3: no alerts for DNS record changes</strong></p> <p>I had zero alerting to detect changes to my A, CNAME, or NS records. An attacker could have changed the NS record and I would have found out when a user messaged me that the site was down — or worse, that something was off.</p> <p>I fixed this with a simple script running on a Railway cron job:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// monitor-dns.ts — runs every 5 minutes on Railway</span> <span class="c1">// Sends a Telegram alert if any record changes</span> <span class="k">import</span> <span class="p">{</span> <span class="nx">Resolver</span> <span class="p">}</span> <span class="k">from</span> <span class="dl">'</span><span class="s1">node:dns/promises</span><span class="dl">'</span><span class="p">;</span> <span class="kd">const</span> <span class="nx">resolver</span> <span class="o">=</span> <span class="k">new</span> <span class="nc">Resolver</span><span class="p">();</span> <span class="c1">// Using different resolvers to detect cache divergence</span> <span class="nx">resolver</span><span class="p">.</span><span class="nf">setServers</span><span class="p">([</span><span class="dl">'</span><span class="s1">8.8.8.8</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">1.1.1.1</span><span class="dl">'</span><span class="p">]);</span> <span class="kd">const</span> <span class="nx">CRITICAL_DOMAINS</span> <span class="o">=</span> <span class="p">[</span> <span class="p">{</span> <span class="na">domain</span><span class="p">:</span> <span class="dl">'</span><span class="s1">juanchi.dev</span><span class="dl">'</span><span class="p">,</span> <span class="na">type</span><span class="p">:</span> <span class="dl">'</span><span class="s1">A</span><span class="dl">'</span><span class="p">,</span> <span class="na">expectedValue</span><span class="p">:</span> <span class="nx">process</span><span class="p">.</span><span class="nx">env</span><span class="p">.</span><span class="nx">IP_PROD</span> <span class="p">},</span> <span class="p">{</span> <span class="na">domain</span><span class="p">:</span> <span class="dl">'</span><span class="s1">api.juanchi.dev</span><span class="dl">'</span><span class="p">,</span> <span class="na">type</span><span class="p">:</span> <span class="dl">'</span><span class="s1">CNAME</span><span class="dl">'</span><span class="p">,</span> <span class="na">expectedValue</span><span class="p">:</span> <span class="dl">'</span><span class="s1">my-app.railway.app</span><span class="dl">'</span> <span class="p">},</span> <span class="p">];</span> <span class="k">async</span> <span class="kd">function</span> <span class="nf">checkRecords</span><span class="p">()</span> <span class="p">{</span> <span class="k">for </span><span class="p">(</span><span class="kd">const</span> <span class="p">{</span> <span class="nx">domain</span><span class="p">,</span> <span class="kd">type</span><span class="p">,</span> <span class="nx">expectedValue</span> <span class="p">}</span> <span class="k">of</span> <span class="nx">CRITICAL_DOMAINS</span><span class="p">)</span> <span class="p">{</span> <span class="k">try</span> <span class="p">{</span> <span class="kd">const</span> <span class="nx">result</span> <span class="o">=</span> <span class="k">await</span> <span class="nx">resolver</span><span class="p">.</span><span class="nf">resolve</span><span class="p">(</span><span class="nx">domain</span><span class="p">,</span> <span class="kd">type</span> <span class="k">as</span> <span class="dl">'</span><span class="s1">A</span><span class="dl">'</span> <span class="o">|</span> <span class="dl">'</span><span class="s1">CNAME</span><span class="dl">'</span><span class="p">);</span> <span class="kd">const</span> <span class="nx">currentValue</span> <span class="o">=</span> <span class="nx">result</span><span class="p">[</span><span class="mi">0</span><span class="p">];</span> <span class="k">if </span><span class="p">(</span><span class="nx">currentValue</span> <span class="o">!==</span> <span class="nx">expectedValue</span><span class="p">)</span> <span class="p">{</span> <span class="c1">// Something changed — immediate alert</span> <span class="k">await</span> <span class="nf">notifyTelegram</span><span class="p">(</span> <span class="s2">`⚠️ DNS CHANGED\nDomain: </span><span class="p">${</span><span class="nx">domain</span><span class="p">}</span><span class="s2">\nExpected: </span><span class="p">${</span><span class="nx">expectedValue</span><span class="p">}</span><span class="s2">\nActual: </span><span class="p">${</span><span class="nx">currentValue</span><span class="p">}</span><span class="s2">`</span> <span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="k">catch </span><span class="p">(</span><span class="nx">error</span><span class="p">)</span> <span class="p">{</span> <span class="c1">// Domain doesn't resolve — that's also an alert</span> <span class="k">await</span> <span class="nf">notifyTelegram</span><span class="p">(</span><span class="s2">`🚨 DNS NOT RESOLVING: </span><span class="p">${</span><span class="nx">domain</span><span class="p">}</span><span class="s2">`</span><span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="p">}</span> </code></pre> </div> <p>Simple. Runs on Railway with a cron job. I got one false positive alert on the first day because Railway rotated a deployment IP — which was, ironically, exactly the kind of detection I was going for.</p> <p><strong>Mistake 4: the registrar recovery email was the same as my work email</strong></p> <p>If someone compromised my Google Workspace account, they had access to everything. I moved the registrar accounts to a dedicated email — no alias, different password generated in Bitwarden, hardware key (YubiKey) as the second factor.</p> <p>This is especially relevant given the <a href="https://juanchi.dev/en/blog/bitwarden-cli-supply-chain-attack-trust-surface-audit" rel="noopener noreferrer">Bitwarden CLI supply chain attack</a> I documented last week — the trust surface isn't just the password manager, it's everything that password manager protects.</p> <h2> The gotchas nobody mentions in "protect your domains" posts </h2> <p><strong>Transfer lock doesn't save you from social engineering</strong></p> <p>Every registrar has a "transfer lock" — it blocks outbound transfers. But social engineering doesn't need a transfer. It needs to change the NS records, which on most registrars lives in the same panel as the transfer lock and requires exactly the same level of access.</p> <p><strong>Registry Lock actually helps, but it's for enterprises</strong></p> <p>There's something called Registry Lock (distinct from Registrar Lock) that requires out-of-band verification for any change, including NS updates. Verisign and other registries offer it for <code>.com</code>. It costs $100-$300/year per domain. Not for personal blogs, but if you have a domain that's critical to your business, it's worth the conversation.</p> <p><strong>DNSSEC doesn't protect against registrar-level hijacking</strong></p> <p>If the attacker already controls the registrar, they can change the DS record (the "anchor" for DNSSEC) along with the NS records. DNSSEC protects against attacks at the resolution layer (cache poisoning). It doesn't protect you if the attacker has access to the registrar panel.</p> <h2> FAQ: GoDaddy domain hijacking and how to protect your domains </h2> <p><strong>Does this only happen with GoDaddy or can it happen with any registrar?</strong></p> <p>Any registrar. GoDaddy has more reported cases because it has more users, but the email + document identity verification process for account recovery is practically universal. Namecheap, Google Domains (now Squarespace), Name.com — they all have similar processes. The problem is systemic, not vendor-specific.</p> <p><strong>Is enabling 2FA on the registrar enough?</strong></p> <p>Necessary but not sufficient. 2FA protects direct login. But if the registrar's account recovery process accepts "email + photo ID" as a fallback (many do), 2FA has a bypass via support. The most robust protection combines strong 2FA (TOTP or hardware key) + a dedicated email for the registrar account + active monitoring for DNS changes.</p> <p><strong>What is Registry Lock and is it worth paying for?</strong></p> <p>Registry Lock is an additional protection layer implemented by the registry (Verisign for <code>.com</code>, for example) that requires out-of-band verification for any change operation. The registrar can't process an NS change or a transfer without going through a manual registry process. It costs $100-$300/year per domain and makes sense for domains that generate direct revenue or have high production impact.</p> <p><strong>Does DNSSEC solve this?</strong></p> <p>Partially. DNSSEC protects against cache poisoning and attacks at the resolution layer. It doesn't protect you if the attacker already has access to the registrar panel — because they can change the DS record alongside the NS records. It's a valid defense layer, but it's not the final shield against domain hijacking.</p> <p><strong>How long does a malicious DNS change take to propagate?</strong></p> <p>It depends on the configured TTL. With a TTL of 300 seconds (5 minutes, common in performance-tuned configs), an attacker has effective control of traffic in under 10 minutes after changing the record. With a TTL of 3600 (1 hour), you get a longer detection window but resolvers also cache the legitimate value longer. There's no perfect answer — low TTL accelerates both the attack and the recovery.</p> <p><strong>Can Railway or Vercel do anything if the domain gets hijacked?</strong></p> <p>Not much. If the domain stops pointing to the Railway or Vercel deployment, the deployment stays alive but traffic stops arriving. You can make the app respond from the Railway internal URL (<code>*.railway.app</code>) while you sort out the domain, but users hitting the compromised domain will see whatever the attacker has mounted — with a valid SSL certificate and the real domain in the browser bar. Vercel and Railway are not part of the domain custody chain.</p> <h2> What changed in my infra after this experiment </h2> <p>Concrete, no fluff:</p> <ol> <li> <strong>YubiKey 2FA on all registrars</strong> — not just TOTP, hardware key as second factor wherever it's supported</li> <li> <strong>Dedicated email for registrars</strong> — isolated from Google Workspace, with its own domain that isn't registered at any of the registrars it protects</li> <li> <strong>DNSSEC enabled on four of six domains</strong> — the remaining two are moving to Cloudflare Registrar this week</li> <li> <strong>DNS monitor on Railway</strong> — cron every 5 minutes, Telegram alert within 10 minutes of any divergence</li> <li> <strong>TTL increased on critical domains</strong> — from 300 to 900 seconds. The slower propagation trade-off is worth the wider detection window</li> <li> <strong>Audit of the account recovery process</strong> — read the support documentation for each registrar to understand what bypasses exist and what mitigations apply</li> </ol> <p>The attack surface didn't disappear. But the friction for an attacker increased considerably, and my detection time dropped from "when someone messages me that the site is acting weird" to "ten minutes after the change."</p> <p>The uncomfortable part of all this is that none of these measures required the GoDaddy incident to implement. I knew about them. I had them on my backlog. And I did them on a Saturday night after reading a post on HN.</p> <p>That says more about how we prioritize security than anything GoDaddy could have done wrong.</p> <p>If you want to check how exposed your current stack is, start with the registrar's email account. Not the registrar panel. The email is the real entry point, and if that email falls, everything else follows.</p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/godaddy-domain-hijacking-simulated-attack-own-infra" rel="noopener noreferrer">juanchi.dev</a></em></p> english devops railway arquitectura GoDaddy le dio mi dominio a un desconocido: simulé el ataque con mi propia infra y entendí qué tan expuesto estaba Juan Torchia Mon, 27 Apr 2026 16:32:37 +0000 https://forem.com/jtorchia/godaddy-le-dio-mi-dominio-a-un-desconocido-simule-el-ataque-con-mi-propia-infra-y-entendi-que-tan-3lj9 https://forem.com/jtorchia/godaddy-le-dio-mi-dominio-a-un-desconocido-simule-el-ataque-con-mi-propia-infra-y-entendi-que-tan-3lj9 <h1> GoDaddy le dio mi dominio a un desconocido: simulé el ataque con mi propia infra y entendí qué tan expuesto estaba </h1> <p>Estaba revisando Hacker News a las 10pm cuando el post llegó al top: GoDaddy había transferido un dominio a alguien que no era el dueño. Score 610, 200+ comentarios, la mayoría diciendo "migré a Cloudflare hace años" o "esto es por qué no usás GoDaddy". Cerré la pestaña. Y me quedé pensando.</p> <p>Yo tengo seis dominios activos. Tres en Namecheap, dos en Cloudflare Registrar, uno en Porkbun. Todos conectados a Railway o Vercel. Todos apuntando a cosas que si se caen, me caen encima.</p> <p>Mi primera reacción fue la del nerd condescendiente: "yo no uso GoDaddy, estoy bien". Mi segunda reacción, veinte minutos después, fue la del arquitecto que sabe que la arrogancia en seguridad es la vulnerabilidad más cara. Así que no cubrí el caso como noticia. Lo usé como excusa para simular el ataque contra mi propia infra, documentar cada paso, y medir qué tan lejos habría llegado un atacante antes de que yo me enterara.</p> <p><strong>Mi tesis, antes de arrancar:</strong> el problema no es GoDaddy específicamente. Es que la cadena de verificación de identidad en DNS fue diseñada en los '90 para un mundo donde cambiar un registro era un evento raro y manual. Hoy, con automatización, CI/CD y APIs de registradores que responden en milisegundos, esa cadena es papel mojado. Y nadie la está rediseñando.</p> <h2> GoDaddy domain hijacking security: qué pasó y por qué me importó personalmente </h2> <p>El caso reportado en HN describía un vector clásico de social engineering combinado con un proceso de soporte que validaba identidad por email. El atacante no hackeó ningún sistema. Llamó (o escribió), presentó documentación falsa, y el proceso interno de GoDaddy procesó la transferencia.</p> <p>Ahí fue cuando me calenté de verdad. Porque no es un bug. Es un proceso que funciona exactamente como fue diseñado — y el diseño es el problema.</p> <p>Me fui a revisar los procesos de los tres registradores que uso. Esto es lo que encontré para una transferencia de dominio saliente:</p> <ul> <li> <strong>Namecheap</strong>: email de confirmación al email registrado + código de autorización (EPP). Si el atacante tiene acceso al email, el dominio sale en 5-7 días sin fricción adicional.</li> <li> <strong>Cloudflare Registrar</strong>: igual que Namecheap, más 2FA opcional (que yo tenía activado en dos de tres dominios, no en todos — detalle vergonzoso).</li> <li> <strong>Porkbun</strong>: email + TOTP obligatorio para transferencias. El más resistente de los tres.</li> </ul> <p>El vector de ataque no es el registrador. Es el email asociado a la cuenta del registrador.</p> <h2> Cómo simulé el ataque: paso a paso con mi propio stack </h2> <p>No rompí nada real. Usé un dominio de prueba que tengo en Namecheap (<code>juanchi-test-[hash].com</code>, comprado en enero, nunca apuntó a producción) y documenté cada paso como si fuera un atacante con acceso a mi email de Google Workspace.</p> <h3> Fase 1: reconocimiento </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Lo primero que haría un atacante: mapear la superficie</span> whois juanchi-test-[hash].com <span class="c"># Output relevante (anonimizado):</span> <span class="c"># Registrar: Namecheap, Inc.</span> <span class="c"># Creation Date: 2025-01-15</span> <span class="c"># Registry Expiry Date: 2026-01-15</span> <span class="c"># Name Server: dns1.registrar-servers.com</span> <span class="c"># Name Server: dns2.registrar-servers.com</span> <span class="c"># DNSSEC: unsigned &lt;-- esto importa, lo vemos después</span> <span class="c"># El email del registrant estaba redactado (WhoisGuard activo)</span> <span class="c"># Pero el registrador sí aparece — primer dato útil para el atacante</span> </code></pre> </div> <p>El WHOIS me dio el registrador. Con eso, un atacante sabe a quién llamar. WhoisGuard protege el email del contacto técnico, pero no protege el registrador. Es como esconder el nombre en la puerta pero dejar el número de apartamento visible.</p> <h3> Fase 2: el vector real — comprometer el email primero </h3> <p>Acá está el insight que más me incomodó. Un ataque a un dominio no empieza en el registrador. Empieza en el email.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Chequeé qué MX records tenía mi dominio de prueba</span> dig MX juanchi-test-[hash].com <span class="c"># Y qué SPF/DKIM tenía el dominio del email que uso para el registrador</span> dig TXT juanchi-dev.com | <span class="nb">grep</span> <span class="nt">-E</span> <span class="s2">"v=spf|DKIM"</span> <span class="c"># Resultado: SPF configurado, DKIM activo en Cloudflare</span> <span class="c"># Pero el punto débil no es la configuración — es la recuperación de cuenta</span> </code></pre> </div> <p>Google Workspace tiene recuperación por SMS. Mi número de teléfono está en el perfil. Si alguien hace SIM swapping, tiene mi email. Si tiene mi email, tiene todos mis dominios en Namecheap y dos de tres en Cloudflare (el que no tenía 2FA activado).</p> <p>Ese fue el momento en que entendí que yo era tan vulnerable como cualquier usuario de GoDaddy. Solo que mi atacante necesitaba un paso previo adicional.</p> <h3> Fase 3: qué le pide Namecheap a "soporte" para una transferencia de emergencia </h3> <p>No llamé haciéndome pasar por nadie. Leí la documentación pública de soporte de Namecheap para casos de recuperación de dominio cuando "perdiste acceso al email". Esto es lo que piden:</p> <ol> <li>Foto del documento de identidad</li> <li>Última factura de compra del dominio</li> <li>Descripción del problema</li> </ol> <p>Eso es todo. No hay verificación de liveness. No hay callback al teléfono registrado. No hay segundo factor independiente. Si un atacante tiene una foto de mi DNI (que existe en LinkedIn, en conferencias, en un millón de lugares), una factura falsa creíble y acceso al email — o no necesita el email porque el soporte puede hacer override — el dominio puede salir.</p> <p>Este proceso existe en <strong>casi todos los registradores</strong>. Porque fue diseñado para el caso legítimo de "se me olvidó el password y cambié de email". No para el caso de un atacante sofisticado.</p> <h3> Fase 4: qué pasaría después — el daño en mi stack de Railway/Vercel </h3> <p>Una vez transferido el dominio, el atacante controla los DNS. Esto es lo que podría hacer contra mi infra en Railway y Vercel:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Escenario: atacante tiene el dominio juanchi.dev</span> <span class="c"># Paso 1: cambia el A record a su propio servidor</span> <span class="c"># Tiempo para que el cambio propague: entre 30 min y 48h según TTL</span> <span class="c"># Mis TTLs actuales (medidos antes del experimento):</span> dig juanchi.dev | <span class="nb">grep </span>TTL <span class="c"># TTL: 300 segundos — propagación en 5 minutos</span> <span class="c"># Paso 2: solicita certificado SSL con Let's Encrypt</span> <span class="c"># ACME challenge HTTP-01 o DNS-01 — con control del dominio, trivial</span> <span class="c"># Tiempo: menos de 2 minutos</span> <span class="c"># Paso 3: monta un reverse proxy hacia mi propio Railway deployment</span> <span class="c"># O simplemente una página de phishing idéntica</span> <span class="c"># Con un certificado válido y el dominio real, el browser no avisa nada</span> </code></pre> </div> <p>El TTL de 300 segundos que tengo configurado por performance me habría dado una ventana de detección de cinco minutos después del cambio. Demasiado poco.</p> <p>Esto conecta directamente con lo que documenté en el <a href="https://juanchi.dev/es/blog/typescript-70-beta-novedades-prueba-codebase-real" rel="noopener noreferrer">post del Vercel breach</a> — cuando la infra de deployment está comprometida o el dominio que la alimenta está comprometido, el daño no es técnico. Es de confianza. Y la confianza no se recupera con un rollback.</p> <h2> Los errores que encontré en mi propia configuración </h2> <p>Voy a ser concreto porque me parece lo más valioso de este experimento. Estos son los problemas reales que tenía antes de simular el ataque:</p> <p><strong>Error 1: 2FA inconsistente entre registradores</strong></p> <p>Un dominio en Cloudflare Registrar sin 2FA activado. No tenía excusa. Lo activé en diez minutos durante el experimento.</p> <p><strong>Error 2: DNSSEC desactivado en todos mis dominios</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Verificación rápida de DNSSEC</span> dig DS juanchi.dev @8.8.8.8 <span class="c"># Respuesta vacía = DNSSEC no configurado</span> <span class="c"># Con DNSSEC activo, un atacante que modifique registros DNS</span> <span class="c"># genera respuestas que los resolvers validan y rechazan</span> <span class="c"># No es infalible, pero agrega fricción real</span> </code></pre> </div> <p>DNSSEC es engorroso de configurar. Cloudflare lo hace en un click. Namecheap lo soporta pero la UI es horrible. No lo tenía activado en ninguno. Ahora lo tengo en cuatro de seis dominios (los dos de Porkbun siguen pendientes, los voy a migrar).</p> <p><strong>Error 3: sin alertas de cambio de registros DNS</strong></p> <p>No tenía ningún sistema de alerta para detectar cambios en mis registros A, CNAME o NS. Un atacante podría haber cambiado el NS record y yo me habría enterado cuando un usuario me escribiera que el sitio está caído — o peor, que está raro.</p> <p>Esto lo resolví con un script simple que corre en un cron de Railway:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight typescript"><code><span class="c1">// monitor-dns.ts — corre cada 5 minutos en Railway</span> <span class="c1">// Alerta por Telegram si un registro cambia</span> <span class="k">import</span> <span class="p">{</span> <span class="nx">Resolver</span> <span class="p">}</span> <span class="k">from</span> <span class="dl">'</span><span class="s1">node:dns/promises</span><span class="dl">'</span><span class="p">;</span> <span class="kd">const</span> <span class="nx">resolver</span> <span class="o">=</span> <span class="k">new</span> <span class="nc">Resolver</span><span class="p">();</span> <span class="c1">// Uso resolvers distintos para detectar divergencia entre cachés</span> <span class="nx">resolver</span><span class="p">.</span><span class="nf">setServers</span><span class="p">([</span><span class="dl">'</span><span class="s1">8.8.8.8</span><span class="dl">'</span><span class="p">,</span> <span class="dl">'</span><span class="s1">1.1.1.1</span><span class="dl">'</span><span class="p">]);</span> <span class="kd">const</span> <span class="nx">DOMINIOS_CRITICOS</span> <span class="o">=</span> <span class="p">[</span> <span class="p">{</span> <span class="na">dominio</span><span class="p">:</span> <span class="dl">'</span><span class="s1">juanchi.dev</span><span class="dl">'</span><span class="p">,</span> <span class="na">tipo</span><span class="p">:</span> <span class="dl">'</span><span class="s1">A</span><span class="dl">'</span><span class="p">,</span> <span class="na">valorEsperado</span><span class="p">:</span> <span class="nx">process</span><span class="p">.</span><span class="nx">env</span><span class="p">.</span><span class="nx">IP_PROD</span> <span class="p">},</span> <span class="p">{</span> <span class="na">dominio</span><span class="p">:</span> <span class="dl">'</span><span class="s1">api.juanchi.dev</span><span class="dl">'</span><span class="p">,</span> <span class="na">tipo</span><span class="p">:</span> <span class="dl">'</span><span class="s1">CNAME</span><span class="dl">'</span><span class="p">,</span> <span class="na">valorEsperado</span><span class="p">:</span> <span class="dl">'</span><span class="s1">my-app.railway.app</span><span class="dl">'</span> <span class="p">},</span> <span class="p">];</span> <span class="k">async</span> <span class="kd">function</span> <span class="nf">verificarRegistros</span><span class="p">()</span> <span class="p">{</span> <span class="k">for </span><span class="p">(</span><span class="kd">const</span> <span class="p">{</span> <span class="nx">dominio</span><span class="p">,</span> <span class="nx">tipo</span><span class="p">,</span> <span class="nx">valorEsperado</span> <span class="p">}</span> <span class="k">of</span> <span class="nx">DOMINIOS_CRITICOS</span><span class="p">)</span> <span class="p">{</span> <span class="k">try</span> <span class="p">{</span> <span class="kd">const</span> <span class="nx">resultado</span> <span class="o">=</span> <span class="k">await</span> <span class="nx">resolver</span><span class="p">.</span><span class="nf">resolve</span><span class="p">(</span><span class="nx">dominio</span><span class="p">,</span> <span class="nx">tipo</span> <span class="k">as</span> <span class="dl">'</span><span class="s1">A</span><span class="dl">'</span> <span class="o">|</span> <span class="dl">'</span><span class="s1">CNAME</span><span class="dl">'</span><span class="p">);</span> <span class="kd">const</span> <span class="nx">valorActual</span> <span class="o">=</span> <span class="nx">resultado</span><span class="p">[</span><span class="mi">0</span><span class="p">];</span> <span class="k">if </span><span class="p">(</span><span class="nx">valorActual</span> <span class="o">!==</span> <span class="nx">valorEsperado</span><span class="p">)</span> <span class="p">{</span> <span class="c1">// Algo cambió — alerta inmediata</span> <span class="k">await</span> <span class="nf">notificarTelegram</span><span class="p">(</span> <span class="s2">`⚠️ DNS CAMBIADO\nDominio: </span><span class="p">${</span><span class="nx">dominio</span><span class="p">}</span><span class="s2">\nEsperado: </span><span class="p">${</span><span class="nx">valorEsperado</span><span class="p">}</span><span class="s2">\nActual: </span><span class="p">${</span><span class="nx">valorActual</span><span class="p">}</span><span class="s2">`</span> <span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="k">catch </span><span class="p">(</span><span class="nx">error</span><span class="p">)</span> <span class="p">{</span> <span class="c1">// El dominio no resuelve — también es alerta</span> <span class="k">await</span> <span class="nf">notificarTelegram</span><span class="p">(</span><span class="s2">`🚨 DNS NO RESUELVE: </span><span class="p">${</span><span class="nx">dominio</span><span class="p">}</span><span class="s2">`</span><span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="p">}</span> </code></pre> </div> <p>Simple. Corre en Railway con un cron job. Me llegó una alerta falsa positiva en el primer día porque Railway rotó una IP de deployment — lo cual fue, irónicamente, exactamente el tipo de detección que quería.</p> <p><strong>Error 4: el email de recuperación del registrador era el mismo que el email de trabajo</strong></p> <p>Si alguien compromete mi cuenta de Google Workspace, tenía acceso a todo. Moví las cuentas de registrador a un email dedicado, sin alias, con una contraseña distinta generada en Bitwarden y con una clave de hardware (YubiKey) como segundo factor.</p> <p>Esto es especialmente relevante dado el <a href="https://juanchi.dev/es/blog/bitwarden-cli-supply-chain-attack-checkmarx-superficie-confianza" rel="noopener noreferrer">supply chain attack sobre Bitwarden CLI</a> que documenté la semana pasada — la surface de confianza no es solo el password manager, es todo lo que ese password manager protege.</p> <h2> Los gotchas que nadie menciona en los posts de "protegé tus dominios" </h2> <p><strong>El transfer lock no te salva del social engineering</strong></p> <p>Todos los registradores tienen "transfer lock" — bloquea transferencias salientes. Pero el social engineering no necesita una transferencia. Necesita cambiar los NS records, que en la mayoría de los registradores está en el mismo panel que el transfer lock, y requiere exactamente el mismo nivel de acceso.</p> <p><strong>Registry lock sí ayuda, pero es para empresas</strong></p> <p>Existe algo llamado Registry Lock (distinto al Registrar Lock) que requiere verificación fuera de banda para cualquier cambio, incluyendo NS. Lo ofrecen Verisign y otros registros para <code>.com</code>. Cuesta entre $100-$300 al año por dominio. No es para blogs personales, pero si tenés un dominio crítico para tu negocio, vale la conversación.</p> <p><strong>DNSSEC no protege contra el hijacking en la capa de registrador</strong></p> <p>Si el atacante ya controla el registrador, puede cambiar el registro DS (que es la "ancla" de DNSSEC) junto con los NS records. DNSSEC protege contra ataques en la capa de resolución (cache poisoning). No protege si el atacante tiene acceso al panel del registrador.</p> <h2> FAQ: GoDaddy domain hijacking y cómo proteger tus dominios </h2> <p><strong>¿Solo pasa con GoDaddy o puede pasar con cualquier registrador?</strong></p> <p>Con cualquier registrador. GoDaddy tiene más casos reportados porque tiene más usuarios, pero el proceso de verificación de identidad basado en email + documento es prácticamente universal. Namecheap, Google Domains (ahora Squarespace), Name.com — todos tienen procesos similares para recuperación de acceso. El problema es sistémico, no es de un proveedor específico.</p> <p><strong>¿Activar 2FA en el registrador es suficiente?</strong></p> <p>Es necesario pero no suficiente. El 2FA protege el login directo. Pero si el proceso de recuperación de cuenta del registrador acepta "email + foto de DNI" como fallback (que muchos aceptan), el 2FA tiene un bypass vía soporte. La protección más robusta es combinar 2FA fuerte (TOTP o hardware key) + email dedicado para la cuenta del registrador + vigilancia activa de cambios en DNS.</p> <p><strong>¿Qué es Registry Lock y vale la pena pagarlo?</strong></p> <p>Registry Lock es una capa adicional de protección implementada por el registro (Verisign para <code>.com</code>, por ejemplo) que requiere verificación out-of-band para cualquier operación de cambio. El registrador no puede procesar un cambio de NS o una transferencia sin pasar por un proceso manual del registro. Cuesta entre $100-$300/año por dominio y tiene sentido para dominios que generan ingresos directos o tienen alto impacto en producción.</p> <p><strong>¿DNSSEC resuelve esto?</strong></p> <p>Parcialmente. DNSSEC protege contra cache poisoning y ataques en la capa de resolución. No protege si el atacante ya tiene acceso al panel del registrador — porque puede cambiar el registro DS junto con los NS. Es una capa de defensa válida, pero no es el escudo final contra domain hijacking.</p> <p><strong>¿Cuánto tiempo tarda en propagarse un cambio de DNS malicioso?</strong></p> <p>Depende del TTL configurado. Con TTL de 300 segundos (5 minutos, que es común en configuraciones de performance), un atacante tiene control efectivo del tráfico en menos de 10 minutos después de cambiar el registro. Con TTL de 3600 (1 hora), tenés más tiempo de detección pero los resolvers cachean el valor legítimo durante más tiempo también. No hay una respuesta perfecta — TTL bajo acelera tanto el ataque como la recuperación.</p> <p><strong>¿Railway o Vercel pueden hacer algo si el dominio se secuestra?</strong></p> <p>Poco. Si el dominio deja de apuntar al deployment de Railway o Vercel, el deployment sigue vivo pero el tráfico no llega. Podés hacer que la app responda desde la URL interna de Railway (<code>*.railway.app</code>) mientras resolvés el dominio, pero los usuarios que lleguen al dominio comprometido van a ver lo que el atacante monte — con un certificado SSL válido y el dominio real en la barra del browser. Vercel y Railway no son parte de la cadena de custodia del dominio.</p> <h2> Lo que cambió en mi infra después de este experimento </h2> <p>Concreto, sin floro:</p> <ol> <li> <strong>2FA con YubiKey en todos los registradores</strong> — no solo TOTP, hardware key como segundo factor donde lo soportan</li> <li> <strong>Email dedicado para registradores</strong> — aislado de Google Workspace, con dominio propio que no está en ninguno de los registradores que protege</li> <li> <strong>DNSSEC activado en cuatro de seis dominios</strong> — los dos restantes van a Cloudflare Registrar esta semana</li> <li> <strong>Monitor DNS en Railway</strong> — cron cada 5 minutos, alerta por Telegram en menos de 10 minutos ante cualquier divergencia</li> <li> <strong>TTL aumentado en dominios críticos</strong> — de 300 a 900 segundos. El trade-off de propagación más lenta vale la ventana de detección más amplia</li> <li> <strong>Audit del proceso de recuperación de cuenta</strong> — leí la documentación de soporte de cada registrador para entender qué bypass existe y qué mitigación aplica</li> </ol> <p>La superficie de ataque no desapareció. Pero la fricción para un atacante aumentó considerablemente, y mi tiempo de detección bajó de "cuando alguien me avisa que el sitio está raro" a "diez minutos después del cambio".</p> <p>Lo incómodo de todo esto es que ninguna de estas medidas requería el incidente de GoDaddy para implementarse. Las sabía. Las tenía pendientes. Y las hice en un sábado a la noche después de leer una noticia en HN.</p> <p>Eso dice más sobre cómo priorizamos seguridad que cualquier cosa que GoDaddy pueda haber hecho mal.</p> <p>Si querés revisar cómo está expuesto el stack que usás, arrancá por el email del registrador. No por el panel del registrador. El email es el punto de entrada real, y si ese email cae, todo lo demás sigue.</p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/godaddy-domain-hijacking-security-simulacion-ataque-infra-propia" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol devops railway Asahi Linux 7.0 on Apple Silicon: I Installed It on My Real Machine and Here's What It Says About the Future of the Kernel on ARM Juan Torchia Mon, 27 Apr 2026 14:31:08 +0000 https://forem.com/jtorchia/asahi-linux-70-on-apple-silicon-i-installed-it-on-my-real-machine-and-heres-what-it-says-about-5g04 https://forem.com/jtorchia/asahi-linux-70-on-apple-silicon-i-installed-it-on-my-real-machine-and-heres-what-it-says-about-5g04 <h1> Asahi Linux 7.0 on Apple Silicon: I Installed It on My Real Machine and Here's What It Says About the Future of the Kernel on ARM </h1> <p>Why do we keep treating Apple Silicon like hostile territory for Linux when the upstream kernel has been absorbing Asahi patches for months? I'd been asking myself that every time I landed on an HN thread where someone swore that "Linux on a Mac isn't usable for real work." This week the Asahi Linux 7.0 post hit 620 points on Hacker News — that's not noise. That's signal. I decided to stop reading threads and do what I always end up doing: install it, break things, measure.</p> <p>Spoiler: not everything works. But what does work completely changed how I read the problem.</p> <h2> Asahi Linux 7.0 on Apple Silicon: What Upstream Kernel Support Actually Means and Why It Matters More Than the GPU Driver </h2> <p>The coverage over the last few days focused on the GPU driver — makes sense, it's the most photogenic headline. But there's something more important underneath: Linux 6.x (and what's coming in 7.0) started absorbing native Apple Silicon support into the mainline kernel tree. Not a patch you download from some fork. Not a specialized distro living in its own bubble. The mainline tree.</p> <p>That has concrete consequences — I'll detail them with what I measured — but first, the context for why I personally care.</p> <p>My daily development workflow runs on Next.js, TypeScript, Docker, and PostgreSQL on Railway. Last week I was evaluating TypeScript 7.0 Beta against my own codebase — you can read that experiment in the <a href="https://juanchi.dev/en/blog/typescript-7-beta-real-codebase-results-what-changed" rel="noopener noreferrer">TypeScript 7.0 Beta post</a>. What I learned there made me pay closer attention to how fragile it is to depend on an ecosystem you don't control. Asahi Linux gives me the same feeling, but on the hardware side.</p> <p>When I ran the Asahi Linux 7.0 installer on my MacBook Pro M2, the first thing I noticed was how <em>ordinary</em> the process felt. No dramatic warnings. No cathartic ceremony. That in itself is a technical statement.</p> <h2> What I Measured in My Real Workflow: Honest Numbers </h2> <h3> The Environment </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Hardware: MacBook Pro M2, 16GB RAM</span> <span class="c"># Asahi Linux 7.0 (Fedora Asahi Remix)</span> <span class="c"># Kernel: 6.12.0-asahi (base for the 7.0 series)</span> <span class="c"># Shell: zsh, tmux</span> <span class="nb">uname</span> <span class="nt">-r</span> <span class="c"># 6.12.0-asahi-00001-g3e5f8b2d1a4c</span> <span class="c"># Verify actual architecture</span> <span class="nb">uname</span> <span class="nt">-m</span> <span class="c"># aarch64</span> </code></pre> </div> <p>That — <code>aarch64</code> on a Mac — still feels slightly like science fiction. But here we are.</p> <h3> Docker: The First Real Test </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Brought up my usual development stack</span> docker compose up <span class="nt">-d</span> <span class="c"># PostgreSQL 16 + Next.js dev server + Redis</span> <span class="c"># Boot time on Apple Silicon with Asahi:</span> <span class="nb">time </span>docker compose up <span class="nt">-d</span> <span class="c"># real 0m8.341s</span> <span class="c"># Same stack on x86_64 (reference point, different hardware, not a direct comparison):</span> <span class="c"># real 0m11.2s (average of 3 runs)</span> </code></pre> </div> <p>The number isn't a fair cross-architecture comparison — the hardware is different. What I <em>can</em> say: Docker on Asahi Linux on M2 is not the bottleneck. There was never a moment where I thought "this is being throttled by the kernel." Containers came up, volumes mounted, ports exposed. Normal flow.</p> <p>What <strong>did</strong> take longer was the first <code>docker pull</code> of <code>linux/arm64</code> images — not every image has multi-arch manifests. Official PostgreSQL 16: no problem. Some internal tooling images we have on the team: broken. That's not Asahi's fault, it's arm64 debt in the container ecosystem. Different cause, different fix.</p> <h3> Node.js and the Next.js Build </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Cloned my main project</span> git clone git@github.com:juantorchia/mi-proyecto.git <span class="nb">cd </span>mi-proyecto npm ci <span class="c"># Production build</span> <span class="nb">time </span>npm run build <span class="c"># Result on Asahi Linux / M2:</span> <span class="c"># real 1m14.3s</span> <span class="c"># Previous references (same project, same commit):</span> <span class="c"># M2 macOS: 0m58.1s</span> <span class="c"># x86_64 Linux (Railway VPS): 1m49.2s</span> </code></pre> </div> <p>Here's the interesting data point: <strong>Asahi Linux on M2 is faster at compilation than any x86 VPS I have access to.</strong> Slower than native macOS, yes — there's kernel overhead and some syscall translation layers that aren't fully optimized yet. But "slower than native macOS" isn't the relevant benchmark. The relevant benchmark is: can I do my work? The answer is yes, with room to spare.</p> <h3> What Doesn't Work Yet </h3> <p>I'm not going to pretend everything runs clean. Some things are broken:</p> <p><strong>Suspend/wake</strong>: the laptop sometimes comes back from suspend with a dead network connection. I need <code>sudo systemctl restart NetworkManager</code> to recover it. It's a 3-second workaround, but it's a workaround. That's not a workflow, it's a scar.</p> <p><strong>Bluetooth</strong>: I connected my AirPods. They paired. Audio comes through. With noticeable latency on calls — usable for background music, completely unusable for a Zoom meeting. For that I'm still on macOS or wired headphones.</p> <p><strong>GPU</strong>: the Asahi GPU driver (Honeykrisp) works for basic acceleration and Vulkan. For my development workflow I don't need more than that. But if you're running local ML workloads or editing video, the story is different.</p> <h2> The Mistakes I Made (And That You'll Make Too) </h2> <h3> 1. Assuming the Dual Boot Would Be Transparent </h3> <p>The Asahi installer handles partitioning in a way that's non-standard by Apple's own conventions. The first time I tried to shrink the macOS partition, the process failed silently — no error, no message, nothing changed. I had to reread the documentation (which is good, but dense) to understand I needed to do it from Apple's Recovery Mode with specific <code>diskutil</code> commands.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># This does NOT work from normal macOS:</span> diskutil apfs resizeContainer disk0s2 100GB <span class="c"># This DOES work from macOS Recovery:</span> <span class="c"># diskutil apfs resizeContainer disk0s2 100GB</span> <span class="c"># (same command, different context — where you run it matters)</span> </code></pre> </div> <p>Three hours lost on something the documentation explicitly explains, but that I skipped because I was being arrogant about it.</p> <h3> 2. Assuming Every Docker Image Has arm64 Support </h3> <p>Already mentioned above, but it deserves its own bullet: check the manifests before building a workflow that depends on specific images. <code>docker manifest inspect image:tag</code> before you're crying at 11pm.</p> <h3> 3. Confusing "Kernel Support" With "Feature Parity" </h3> <p>Upstream kernel support for Apple Silicon doesn't mean everything that works on macOS works on Linux. It means the kernel knows how to talk to the base hardware. On top of that you still have individual drivers, firmware, userspace layers. It's real progress but it's not a "done" flag. If you came in with that expectation, you're going to be frustrated.</p> <h3> 4. Not Making a Backup Before the First Attempt </h3> <p>Obvious. I'm saying it anyway because I was tempted to skip it myself. I made the backup. I'm an adult.</p> <h2> My Real Thesis on What Asahi Linux 7.0 Actually Means </h2> <p>The GPU driver is the headline. But <strong>the real story is that Apple Silicon stopped being a trap for Linux developers.</strong></p> <p>Trap in what sense: before Asahi, if you bought an M1/M2 Mac and wanted to run Linux on real hardware, you were on your own. You could use a VM but you'd lose the chip's performance. You could wait for someone to port something, but that someone had no long-term maintenance commitment. The hardware was excellent and the Linux ecosystem was telling you "you're not welcome here."</p> <p>What changed with upstream support is the chain of trust. Now when there's a kernel bug related to Apple Silicon, there's a community with actual incentives to fix it in the mainline tree. Not in a fork that someone abandons when they take a job somewhere else. That's what I <a href="https://juanchi.dev/en/blog/bitwarden-cli-supply-chain-attack-trust-surface-audit" rel="noopener noreferrer">learned with the Bitwarden CLI supply chain attack</a>: the trust surface of a tool isn't just its code, it's its maintenance chain. Asahi improved that chain structurally.</p> <p>When we migrated Notion notes to Markdown <a href="https://juanchi.dev/en/blog/plain-text-won-migrating-notion-to-markdown-what-i-lost" rel="noopener noreferrer">and found that portability has a hidden cost</a>, the problem wasn't the format — it was platform lock-in. Apple Silicon with macOS was that same problem on the hardware side. You buy the best chip on the market and you're stuck with the manufacturer's OS. Asahi Linux 7.0 starts breaking that lock-in in a legitimate way.</p> <p>Is it production-ready today? For a server, no — it doesn't make sense. For a development workstation where you already know the gotchas and can tolerate meh Bluetooth and the occasional suspend failure, <strong>yes, right now.</strong></p> <h2> FAQ: Asahi Linux 7.0 on Apple Silicon </h2> <p><strong>Is Asahi Linux 7.0 stable for daily use?</strong><br> Depends on what you mean by "daily use." For software development — compiling, running Docker, writing code — it's stable. For video calls over Bluetooth or suspending the laptop ten times a day, there's still real friction. My honest take: if your work is mostly terminal and browser, yes. If you need the full multimedia stack without configuration, not yet.</p> <p><strong>Does Docker work on Apple Silicon with Asahi Linux?</strong><br> Yes. Docker runs natively on aarch64 without an emulation layer. Images with <code>linux/arm64</code> manifests work without issues. Images that only have <code>linux/amd64</code> will fail or need emulation via <code>--platform</code>. Check the manifests for the images you use before migrating your full workflow.</p> <p><strong>Which Apple chip works best with Asahi Linux 7.0?</strong><br> M1 and M2 have the most mature support because they've been under the community's microscope the longest. M3 and M4 have growing but more incomplete support, especially for GPU drivers. If you're choosing new hardware with Asahi in mind, M2 Pro is the sweet spot right now.</p> <p><strong>Does the Asahi GPU driver (Honeykrisp) hold up for development?</strong><br> For web development, yes — basic acceleration works, GPU-accelerated terminals run well, the desktop experience is smooth. For local ML workloads or 3D rendering, the current state isn't enough. Vulkan works but not at the speed of Apple's native Metal.</p> <p><strong>Can I use Asahi Linux as a complete macOS replacement?</strong><br> Today: partially. About 80% of a modern development workflow runs without friction. The remaining 20% — mature Bluetooth, solid suspend/resume, some tools that assume macOS — still needs workarounds or trade-offs. In 12 months that ratio is going to shift. The pace of upstream contributions accelerated noticeably with the 6.12+ series.</p> <p><strong>Is it worth installing if I already have a macOS workflow that works?</strong><br> If the workflow works, don't break it out of curiosity. Install it in dual boot if you want to explore without risk. What <em>does</em> make sense to do today: evaluate whether your development stack runs cleanly on arm64 Linux, because that knowledge is going to be relevant when more infrastructure migrates to ARM. That's why I did this — not to escape macOS, but to understand the terrain before it becomes mandatory to understand it. Same reason I <a href="https://juanchi.dev/en/blog/gpt-5-5-api-benchmark-real-production-cases-vs-gpt-4o" rel="noopener noreferrer">benchmark GPT-5.5 in the API</a> or evaluate <a href="https://juanchi.dev/en/blog/cancelled-claude-quality-degradation-benchmarks-real-logs" rel="noopener noreferrer">whether Claude's quality degradation justifies canceling</a>: I don't wait for the ecosystem to tell me. I measure it myself.</p> <h2> The Lock-In Nobody Names </h2> <p>I spent years worrying about software platform lock-in — SaaS, tools, languages. What I wasn't measuring was hardware lock-in. Apple Silicon is the best laptop chip on the market right now. The problem was that buying it meant committing to macOS with no real exit.</p> <p>Asahi Linux 7.0 doesn't solve that completely. But it lays the first stone of an exit. Upstream kernel support changes the long-term maintenance equation — and for me, that weighs more than the GPU driver. Because drivers improve over time. What doesn't improve on its own is the incentive structure. And that structure today favors the people who want Linux on Apple Silicon.</p> <p>What I'm not buying: the hype that "it's ready for everyone." It's not. You still need tolerance for discomfort and a genuine willingness to debug weird things at 2am on a Saturday. But that tolerance was always the price of admission to the Linux world. What's new is that now there's something on the other side that justifies it.</p> <p>If you want to get started: <a href="https://asahilinux.org" rel="noopener noreferrer">asahilinux.org</a>, read the full documentation before touching the disk, and make a backup. The rest is the same honest chaos it's always been.</p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/asahi-linux-70-apple-silicon-installed-measured-real-workflow" rel="noopener noreferrer">juanchi.dev</a></em></p> english docker linux desarrollo Asahi Linux 7.0 en Apple Silicon: lo instalé en mi máquina real y esto dice sobre el futuro del kernel en ARM Juan Torchia Mon, 27 Apr 2026 14:31:03 +0000 https://forem.com/jtorchia/asahi-linux-70-en-apple-silicon-lo-instale-en-mi-maquina-real-y-esto-dice-sobre-el-futuro-del-hfi https://forem.com/jtorchia/asahi-linux-70-en-apple-silicon-lo-instale-en-mi-maquina-real-y-esto-dice-sobre-el-futuro-del-hfi <h1> Asahi Linux 7.0 en Apple Silicon: lo instalé en mi máquina real y esto dice sobre el futuro del kernel en ARM </h1> <p>¿Por qué seguimos tratando a Apple Silicon como territorio hostil para Linux cuando el kernel upstream lleva meses absorbiendo los parches de Asahi? Llevaba un tiempo haciéndome esa pregunta cada vez que veía un thread de HN donde alguien juraba que "Linux en Mac no sirve para trabajo real". Esta semana el post de Asahi Linux 7.0 llegó a 620 puntos en Hacker News — un número que no es ruido. Es señal. Decidí parar de leer threads y hacer lo que siempre termino haciendo: instalar, romper, medir.</p> <p>Spoiler: no todo anda. Pero lo que anda cambió mi lectura del problema por completo.</p> <h2> Asahi Linux 7.0 en Apple Silicon: qué significa kernel upstream y por qué importa más que el driver de GPU </h2> <p>La cobertura de los últimos días se concentró en el driver de GPU — lógico, es el titular más fotogénico. Pero hay algo más importante debajo: Linux 6.x (y lo que viene en 7.0) empezó a absorber soporte nativo para Apple Silicon en el árbol principal del kernel. No un parche que bajás de un fork. No una distro especializada que vivía en su propia burbuja. El árbol principal.</p> <p>Eso tiene consecuencias concretas que voy a detallar con lo que medí, pero primero el contexto de por qué me importa personalmente.</p> <p>Mi flujo de desarrollo diario corre sobre Next.js, TypeScript, Docker y PostgreSQL en Railway. La semana pasada estaba evaluando TypeScript 7.0 Beta contra mi propio código — podés leer ese experimento en el <a href="https://juanchi.dev/es/blog/typescript-70-beta-novedades-prueba-codebase-real" rel="noopener noreferrer">post sobre TypeScript 7.0 Beta</a>. Lo que aprendí ahí me hizo prestar más atención a qué tan frágil es depender de un ecosistema que no controlás. Asahi Linux me da la misma sensación, pero en el lado del hardware.</p> <p>Cuando corrí el instalador de Asahi Linux 7.0 en mi MacBook Pro M2, lo primero que noté fue lo ordinario del proceso. Sin ceremonias. Sin warnings catárticos. Eso en sí mismo es una declaración técnica.</p> <h2> Lo que medí en mi flujo de trabajo real: números honestos </h2> <h3> El entorno </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Hardware: MacBook Pro M2, 16GB RAM</span> <span class="c"># Asahi Linux 7.0 (Fedora Asahi Remix)</span> <span class="c"># Kernel: 6.12.0-asahi (base para la serie 7.0)</span> <span class="c"># Shell: zsh, tmux</span> <span class="nb">uname</span> <span class="nt">-r</span> <span class="c"># 6.12.0-asahi-00001-g3e5f8b2d1a4c</span> <span class="c"># Verificar arquitectura real</span> <span class="nb">uname</span> <span class="nt">-m</span> <span class="c"># aarch64</span> </code></pre> </div> <p>Eso — <code>aarch64</code> en un Mac — todavía me parece medio ciencia ficción. Pero es lo que hay.</p> <h3> Docker: el primer test serio </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Levanté mi stack de desarrollo habitual</span> docker compose up <span class="nt">-d</span> <span class="c"># PostgreSQL 16 + Next.js dev server + Redis</span> <span class="c"># Tiempo de boot en Apple Silicon con Asahi:</span> <span class="nb">time </span>docker compose up <span class="nt">-d</span> <span class="c"># real 0m8.341s</span> <span class="c"># El mismo stack en x86_64 (referencia, otro hardware, no comparable directo):</span> <span class="c"># real 0m11.2s (promedio de 3 runs)</span> </code></pre> </div> <p>El número no es una comparación justa entre arquitecturas — el hardware es distinto. Lo que sí puedo decir: Docker en Asahi Linux sobre M2 no es el cuello de botella. No hubo un momento donde pensé "esto está limitado por el kernel". Los contenedores levantaron, los volúmenes montaron, los puertos expusieron. Flujo normal.</p> <p>Lo que <strong>sí</strong> tardé más fue el primer <code>docker pull</code> de imágenes <code>linux/arm64</code> — no todas las imágenes tienen manifiestos multi-arch. PostgreSQL 16 oficial: sin problema. Algunas imágenes de herramientas internas que tenemos en el equipo: roto. Eso no es culpa de Asahi, es deuda de arm64 en el ecosistema de contenedores. Distintas causas, distinto fix.</p> <h3> Node.js y el build de Next.js </h3> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Cloné mi proyecto principal</span> git clone git@github.com:juantorchia/mi-proyecto.git <span class="nb">cd </span>mi-proyecto npm ci <span class="c"># Build de producción</span> <span class="nb">time </span>npm run build <span class="c"># Resultado en Asahi Linux / M2:</span> <span class="c"># real 1m14.3s</span> <span class="c"># Referencia previa (mismo proyecto, mismo commit):</span> <span class="c"># M2 macOS: 0m58.1s</span> <span class="c"># x86_64 Linux (VPS Railway): 1m49.2s</span> </code></pre> </div> <p>Acá el dato interesante: <strong>Asahi Linux en M2 es más rápido en compilación que cualquier VPS x86 que tengo</strong>. Más lento que macOS nativo, sí — hay overhead del kernel y de la capa de traducción de algunas syscalls que todavía no están completamente optimizadas. Pero "más lento que macOS nativo" no es el benchmark relevante. El benchmark relevante es: ¿puedo hacer mi trabajo? La respuesta es sí, con margen.</p> <h3> Lo que no funciona todavía </h3> <p>No me voy a hacer el que todo anda. Hay cosas rotas:</p> <p><strong>Suspender/despertar</strong>: el laptop a veces vuelve del suspend con la red muerta. Necesito <code>sudo systemctl restart NetworkManager</code> para recuperarla. Es un workaround de 3 segundos, pero es un workaround. No es un flujo de trabajo, es una cicatriz.</p> <p><strong>Bluetooth</strong>: conecté mis AirPods. Emparejaron. El audio llega. Con latencia notable en llamadas — usable para música de fondo, inutilizable para una reunión de Zoom. Para eso sigo usando macOS o auriculares con cable.</p> <p><strong>GPU</strong>: el driver de GPU de Asahi (Honeykrisp) funciona para aceleración básica y Vulkan. Para mi flujo de desarrollo no necesito más que eso. Pero si corrés cosas de ML locales o editás video, el cuento es diferente.</p> <h2> Los errores comunes que cometí (y que vas a cometer vos también) </h2> <h3> 1. Asumir que el dual boot va a ser transparente </h3> <p>El instalador de Asahi maneja el particionado de manera no estándar para los estándares de Apple. La primera vez que intenté reducir la partición de macOS, el proceso falló silenciosamente — sin error, sin mensaje, simplemente no cambió nada. Tuve que releer la documentación (que es buena, pero densa) para entender que necesitaba hacerlo desde el Recovery Mode de Apple con comandos específicos de <code>diskutil</code>.<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code><span class="c"># Esto NO funciona desde macOS normal:</span> diskutil apfs resizeContainer disk0s2 100GB <span class="c"># Esto SÍ funciona desde macOS Recovery:</span> <span class="c"># diskutil apfs resizeContainer disk0s2 100GB</span> <span class="c"># (mismo comando, distinto contexto — importa desde dónde corrés)</span> </code></pre> </div> <p>Tres horas perdidas en algo que la documentación aclara, pero que yo salteé por soberbio.</p> <h3> 2. Asumir que todas las imágenes Docker tienen soporte arm64 </h3> <p>Ya lo mencioné arriba, pero merece su propio bullet: revisá los manifiestos antes de construir un flujo que dependa de imágenes específicas. <code>docker manifest inspect imagen:tag</code> antes de llorar a las 11pm.</p> <h3> 3. Confundir "kernel support" con "feature parity" </h3> <p>El soporte upstream del kernel para Apple Silicon no significa que todo lo que funciona en macOS funciona en Linux. Significa que el kernel sabe cómo hablar con el hardware base. Encima de eso hay drivers individuales, firmware, capas de userspace. Es un progreso real pero no es un flag de "terminado". Si venías con esa expectativa, vas a frustrarte.</p> <h3> 4. No hacer backup antes del primer intento </h3> <p>Obvio. Lo digo igual porque yo mismo estuve tentado de no hacerlo. Hice backup. Soy adulto.</p> <h2> Mi tesis real sobre lo que significa Asahi Linux 7.0 </h2> <p>El driver de GPU es el titular. Pero <strong>la verdadera historia es que Apple Silicon dejó de ser una trampa para desarrolladores Linux</strong>.</p> <p>Trampa en qué sentido: antes de Asahi, si comprabas un Mac M1/M2 y querías correr Linux en hardware real, estabas solo. Podías usar una VM, pero perdías el rendimiento del chip. Podías esperar a que alguien portara algo, pero ese alguien no era nadie con responsabilidad de mantenimiento a largo plazo. El hardware era excelente y el ecosistema Linux te decía "no sos bienvenido acá".</p> <p>Lo que cambió con el soporte upstream es la cadena de confianza. Ahora cuando hay un bug de kernel relacionado con Apple Silicon, hay una comunidad con incentivos para arreglarlo en el árbol principal. No en un fork que alguien abandona cuando consigue trabajo en otra parte. Eso es lo que <a href="https://juanchi.dev/es/blog/bitwarden-cli-supply-chain-attack-checkmarx-superficie-confianza" rel="noopener noreferrer">aprendí con el ataque a Bitwarden CLI</a>: la superficie de confianza de una herramienta no es solo su código, es su cadena de mantenimiento. Asahi mejoró esa cadena de manera estructural.</p> <p>Cuando migramos notas de Notion a Markdown <a href="https://juanchi.dev/es/blog/migrar-notion-markdown-plain-text-lo-que-perdi" rel="noopener noreferrer">y encontramos que la portabilidad tiene un costo oculto</a>, el problema no era el formato sino el lock-in de la plataforma. Apple Silicon con macOS era ese mismo problema en el lado del hardware. Comprás el mejor chip del mercado y te quedás atado al OS del fabricante. Asahi Linux 7.0 empieza a romper ese lock-in de manera legítima.</p> <p>¿Es para producción hoy? Para un servidor, no — no tiene sentido. Para una workstation de desarrollo donde ya sabés los gotchas y podés tolerar el Bluetooth meh y el suspend que a veces falla, <strong>sí, hoy mismo</strong>.</p> <h2> FAQ: Asahi Linux 7.0 en Apple Silicon </h2> <p><strong>¿Asahi Linux 7.0 es estable para uso diario?</strong><br> Depende de qué entendés por "uso diario". Para desarrollo de software — compilar, correr Docker, escribir código — es estable. Para video conferencias con Bluetooth o suspender el laptop diez veces por día, todavía tiene fricción real. Mi evaluación honesta: si el trabajo consiste principalmente en terminal y browser, sí. Si necesitás todo el stack multimedia sin configuración, todavía no.</p> <p><strong>¿Funciona Docker en Apple Silicon con Asahi Linux?</strong><br> Sí. Docker corre nativamente en aarch64 sin capa de emulación. Las imágenes que tienen manifiestos <code>linux/arm64</code> funcionan sin problemas. Las que solo tienen <code>linux/amd64</code> van a fallar o van a necesitar emulación con <code>--platform</code>. Revisá los manifiestos de las imágenes que usás antes de migrar el flujo completo.</p> <p><strong>¿Qué chip de Apple funciona mejor con Asahi Linux 7.0?</strong><br> M1 y M2 tienen el soporte más maduro porque llevan más tiempo bajo el microscopio de la comunidad. M3 y M4 tienen soporte creciente pero más incompleto, especialmente en drivers de GPU. Si estás eligiendo hardware nuevo pensando en Asahi, M2 Pro es el punto dulce en este momento.</p> <p><strong>¿El driver de GPU de Asahi (Honeykrisp) sirve para desarrollo?</strong><br> Para desarrollo web, sí — la aceleración básica funciona, los terminales acelerados por GPU andan bien, la experiencia de escritorio es fluida. Para workloads de ML locales o rendering 3D, el estado actual no es suficiente. Vulkan funciona pero no a la velocidad del metal nativo de Apple.</p> <p><strong>¿Puedo usar Asahi Linux como reemplazo completo de macOS?</strong><br> Hoy: parcialmente. El 80% de un flujo de desarrollo moderno funciona sin fricciones. El 20% restante — Bluetooth maduro, soporte de suspend/resume, algunas herramientas que asumen macOS — todavía necesita workarounds o sacrificios. En 12 meses, esa proporción va a cambiar. El ritmo de upstream contributions aceleró notablemente con la serie 6.12+.</p> <p><strong>¿Vale la pena instalarlo si ya tengo un flujo macOS que funciona?</strong><br> Si el flujo funciona, no lo rompas por curiosidad. Instalalo en dual boot si querés explorar sin riesgo. Lo que sí tiene sentido hacer hoy: evaluar si tu stack de desarrollo corre limpio en arm64 Linux, porque ese conocimiento va a ser relevante cuando más infraestructura migre a ARM. Yo lo hice por eso — no para escapar de macOS, sino para entender el terreno antes de que sea obligatorio entenderlo. Lo mismo que hago cuando mido <a href="https://juanchi.dev/es/blog/gpt-55-api-benchmark-comparacion-casos-reales-produccion" rel="noopener noreferrer">GPT-5.5 en la API</a> o evalúo <a href="https://juanchi.dev/es/blog/claude-calidad-deterioro-2025-benchmarks-propios-cancelacion" rel="noopener noreferrer">si el deterioro de Claude justifica cancelar</a>: no espero que el ecosistema me avise. Mido yo.</p> <h2> Conclusión: el lock-in de hardware es el problema que nadie nombra </h2> <p>Pasé años preocupándome por el lock-in de plataformas de software — SaaS, herramientas, lenguajes. Lo que no estaba midiendo era el lock-in de hardware. Apple Silicon es el mejor chip del mercado de laptops hoy por hoy. El problema era que comprarlo significaba comprometerse con macOS sin salida real.</p> <p>Asahi Linux 7.0 no resuelve eso completamente. Pero pone la primera piedra de una salida. El soporte upstream del kernel cambia la ecuación de mantenimiento a largo plazo — y eso, para mí, pesa más que el driver de GPU. Porque los drivers mejoran con el tiempo. Lo que no mejora solo es la estructura de incentivos. Y esa estructura hoy favorece a los que quieren Linux en Apple Silicon.</p> <p>Lo que no compro: el hype de que "ya está listo para todos". No está. Todavía necesitás tolerancia a la incomodidad y ganas de debuggear cosas raras un sábado a la madrugada. Pero esa tolerancia siempre fue el precio de entrada al mundo Linux. Lo nuevo es que ahora hay algo del otro lado que lo justifica.</p> <p>Si querés arrancar: <a href="https://asahilinux.org" rel="noopener noreferrer">asahilinux.org</a>, leé la documentación completa antes de tocar el disco, y hacé backup. El resto es el mismo caos honesto de siempre.</p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/asahi-linux-70-apple-silicon-instalacion-kernel-arm" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol docker linux An Agent Deleted My Production Database: What My Logs Say That the Viral HN Post Leaves Out Juan Torchia Mon, 27 Apr 2026 12:31:57 +0000 https://forem.com/jtorchia/an-agent-deleted-my-production-database-what-my-logs-say-that-the-viral-hn-post-leaves-out-4ioh https://forem.com/jtorchia/an-agent-deleted-my-production-database-what-my-logs-say-that-the-viral-hn-post-leaves-out-4ioh <h1> An Agent Deleted My Production Database: What My Logs Say That the Viral HN Post Leaves Out </h1> <p>The right solution to stop an agent from destroying production is giving it <em>less</em> autonomy, not more guardrails. I know that sounds backwards — the entire industry is going to sell you the opposite. Let me walk through my own logs and explain why that distinction matters more than it looks.</p> <p>The Hacker News post blew up this week. Score 689, hundreds of comments, the obligatory thread where everyone expresses horror and then goes right back to deploying agents with the same credentials as always. I read it twice. It's a solid account of the accident. It's a terrible root cause analysis.</p> <p>Because the problem it describes isn't new to me. I have logs. I opened them.</p> <p>A few weeks back I wrote about <a href="https://juanchi.dev/en/blog/crabtrap-proxy-llm-judge-agente-produccion" rel="noopener noreferrer">CrabTrap, the LLM-as-a-judge proxy I put in front of my production agent</a>. Also about <a href="https://juanchi.dev/en/blog/agentes-async-debugging-produccion-lo-que-no-te-dicen" rel="noopener noreferrer">async agents and what debugging doesn't tell you</a>. In both cases I left something unresolved: what happens when the judge fails, when the proxy lets something through that it shouldn't. Today I want to pull on that thread.</p> <h2> What HN Says and What It Leaves Out </h2> <p>The viral post has a classic structure: agent with broad permissions, ambiguous task, poorly bounded context, irreversible action. The author concludes they needed "better guardrails." The comments agree. Everyone closes the thread with a list of tools.</p> <p>My thesis is the opposite: <strong>the problem isn't that the guardrails failed. The problem is that we design for the happy path and guardrails are the patch we slap over that decision.</strong></p> <p>A guardrail is a reactive mechanism. It shows up after you've already decided to give the agent access to production, real credentials, and a scope wide enough to cause real damage. It's like installing an airbag in a car you removed the brakes from and sent downhill.</p> <p>What my logs show is more uncomfortable than that.</p> <h2> What Almost Happened: Three Destructive Operations From My Own Logs </h2> <p>I opened CrabTrap's logs from the last 30 days. Filtered for operations with destructive verbs: <code>DELETE</code>, <code>DROP</code>, <code>TRUNCATE</code>, <code>rm -rf</code>, reset variants. Found <strong>23 calls that hit the proxy</strong> with some destructive intent. Of those 23:</p> <ul> <li> <strong>17 were blocked</strong> by the LLM judge before executing.</li> <li> <strong>4 passed the judge</strong> but failed due to permission restrictions in Railway (the DB user didn't have DDL access).</li> <li> <strong>2 made it all the way through</strong> and executed something they shouldn't have.</li> </ul> <p>Those two cases are the ones that matter. Not because they were catastrophic — they weren't — but because they show exactly where the chain broke.</p> <p><strong>Case 1: DELETE with no WHERE clause</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight sql"><code><span class="c1">-- What the agent wanted to execute</span> <span class="c1">-- Context: "clean up the test records from the staging environment"</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">sessions</span><span class="p">;</span> <span class="c1">-- What it should have executed</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">sessions</span> <span class="k">WHERE</span> <span class="n">environment</span> <span class="o">=</span> <span class="s1">'staging'</span> <span class="k">AND</span> <span class="n">created_at</span> <span class="o">&lt;</span> <span class="n">NOW</span><span class="p">()</span> <span class="o">-</span> <span class="n">INTERVAL</span> <span class="s1">'7 days'</span><span class="p">;</span> </code></pre> </div> <p>The proxy let <code>DELETE FROM sessions</code> through because the judge evaluated the <em>intent</em> as valid (clean up staging sessions) without validating that the query had no WHERE clause. The agent was right about what it wanted to do. The implementation was a disaster.</p> <p>The result? I wiped 14,000 session rows — production and staging mixed together because they shared the same table. Not critical — sessions are regenerable — but if that table had been <code>orders</code> or <code>payments</code>, this would be a very different conversation.</p> <p><strong>Case 2: The Silent Cascade</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight sql"><code><span class="c1">-- What the agent executed in response to "delete test user id=9981"</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">users</span> <span class="k">WHERE</span> <span class="n">id</span> <span class="o">=</span> <span class="mi">9981</span><span class="p">;</span> <span class="c1">-- What it didn't know (and I'd never documented well):</span> <span class="c1">-- users has ON DELETE CASCADE on:</span> <span class="c1">-- → orders (→ order_items → inventory_movements)</span> <span class="c1">-- → documents</span> <span class="c1">-- → audit_logs</span> <span class="c1">-- Total: 847 rows across 5 tables</span> </code></pre> </div> <p>The proxy had no way to know that CASCADE existed. I hadn't documented it in the context I was passing to the agent. The judge approved the operation because it was semantically correct. The schema did the rest.</p> <p>This is what the HN post doesn't say: <strong>guardrails operate on intent, not on the side effects of your schema.</strong> And schema side effects are invisible to any LLM that doesn't have the full ERD in context — which, at any real scale, is impossible.</p> <h2> Why Framework Guardrails Are Theater </h2> <p>I reviewed the guardrails offered by the three most-used agent frameworks today. Not going to name them — I'm not here to do free marketing — but the pattern is identical across all of them:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight python"><code><span class="c1"># Typical "guardrail" pattern in agent frameworks # (representative pseudocode, not from any specific framework) </span> <span class="n">BLOCKED_OPERATIONS</span> <span class="o">=</span> <span class="p">[</span><span class="sh">"</span><span class="s">DROP TABLE</span><span class="sh">"</span><span class="p">,</span> <span class="sh">"</span><span class="s">TRUNCATE</span><span class="sh">"</span><span class="p">,</span> <span class="sh">"</span><span class="s">DELETE FROM users</span><span class="sh">"</span><span class="p">]</span> <span class="k">def</span> <span class="nf">validate_query</span><span class="p">(</span><span class="n">query</span><span class="p">:</span> <span class="nb">str</span><span class="p">)</span> <span class="o">-&gt;</span> <span class="nb">bool</span><span class="p">:</span> <span class="c1"># String matching. That's it. That's the whole thing. </span> <span class="k">for</span> <span class="n">blocked</span> <span class="ow">in</span> <span class="n">BLOCKED_OPERATIONS</span><span class="p">:</span> <span class="k">if</span> <span class="n">blocked</span><span class="p">.</span><span class="nf">upper</span><span class="p">()</span> <span class="ow">in</span> <span class="n">query</span><span class="p">.</span><span class="nf">upper</span><span class="p">():</span> <span class="k">return</span> <span class="bp">False</span> <span class="k">return</span> <span class="bp">True</span> <span class="c1"># The problem: all of these pass cleanly </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">delete from users where id=1</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">DROP TABLE sessions</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True (extra spaces) </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">EXEC sp_executesql @q</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True (dynamic SQL) </span></code></pre> </div> <p>String matching on SQL queries. In 2025. With agents generating dynamic SQL from natural language context.</p> <p>When I built CrabTrap, I replaced that pattern with semantic evaluation — the proxy sends the query plus context to the model and asks whether the operation is destructive in that specific context. It's better. But as the two cases above show, it's still not enough when the problem is in the schema, not the query.</p> <p>The solution I landed on — and the one the HN post never mentions — is more boring: <strong>database users with minimal permissions, separated by environment, no DDL access, and row-level security where it applies.</strong> Not sexy. Not a framework. It's the thing that should exist before the agent ever starts talking to your database.</p> <p>This connects to something I've been dragging around since the <a href="https://juanchi.dev/en/blog/bitwarden-cli-supply-chain-attack-trust-surface-audit" rel="noopener noreferrer">Bitwarden CLI supply chain attack analysis</a>: the trust surface gets designed before the incident, not after. When you start patching after the fact, you've already made the decisions that actually mattered.</p> <h2> The Design Mistakes the HN Incident Normalizes Without Meaning To </h2> <p>The viral post, well-intentioned as it is, lets three assumptions slide by without questioning them:</p> <p><strong>1. That the agent needed direct database access.</strong></p> <p>In most cases, it doesn't. The agent should be talking to a domain API that exposes named, validated, audited operations. <code>deleteTestUser(id)</code> instead of <code>DELETE FROM users WHERE id=?</code>. The difference is that the domain function knows about the cascade, the domain function has business validations baked in, and the domain function can be tested against edge cases without touching production.</p> <p><strong>2. That staging and production are different enough.</strong></p> <p>They're not if they share a schema, if the agent uses the same credentials for both, or if "staging" is just a flag in an environment variable the agent can ignore or misread. I learned that the hard way with the DELETE without a WHERE clause. The agent's context is the prompt, and prompts can be incomplete or badly constructed.</p> <p><strong>3. That this problem is new.</strong></p> <p>It isn't. Back when I worked at a cyber café as a teenager — doing network diagnostics at 11pm with a full house — I learned something no tutorial ever teaches: systems fail at intersections, not in components. The connection didn't drop because of the router alone or the ISP alone — it dropped at the point where the two were talking past each other. Agents destroy databases at the intersection of broad autonomy, generous permissions, and incomplete context. Not from any one of those three factors alone.</p> <h2> FAQ: AI Agents and Production Databases </h2> <p><strong>What minimal permissions should an agent have when accessing a database?</strong></p> <p>Depends on the use case, but as a general rule: <code>SELECT</code> on tables it needs to read, <code>INSERT</code> and <code>UPDATE</code> on tables it needs to modify, and zero DDL access (<code>DROP</code>, <code>ALTER</code>, <code>TRUNCATE</code>). If the agent needs to delete data, better to expose a domain function with soft delete than direct <code>DELETE</code> access. For production environments, row-level security is the layer that closes the perimeter when everything else fails.</p> <p><strong>Are LangChain, CrewAI, or similar guardrails enough to prevent destructive operations?</strong></p> <p>In my experience, no. They're useful as a first layer, but they operate on text patterns or semantic intent without access to the real schema. The problem of silent cascades, implicit foreign keys, or database triggers is invisible to any guardrail that doesn't have the full ERD in context. Necessary but not sufficient.</p> <p><strong>What's better: an LLM-as-a-judge proxy or restrictive DB permissions?</strong></p> <p>Both layers, in that order of priority. Restrictive permissions are the floor: they define what can physically happen. The proxy is the ceiling: it catches semantically dangerous operations before they reach the floor. If you have to pick one, pick permissions. A proxy without minimal permissions is a text guardrail sitting on top of a superuser connection.</p> <p><strong>How do I separate staging from production so an agent can't confuse the two?</strong></p> <p>Different database users, different credentials, and — if you can swing it — different databases on different hosts. A <code>ENV=staging</code> flag in your config isn't enough. An agent doesn't read environment variables with the same certainty as a deterministic process: its context is the prompt, and the prompt can be incomplete or malformed. Physical separation is the only kind that can't be misinterpreted.</p> <p><strong>Is it worth adding human confirmation before destructive operations?</strong></p> <p>Yes, but with judgment. Human-in-the-loop on every operation kills the agent's usefulness. What works is a classification system: read operations → automatic; idempotent write operations → automatic with logging; destructive or irreversible operations → human confirmation always. The trick is that classification has to live in the infrastructure layer, not in the prompt.</p> <p><strong>Is the HN agent-deletes-DB incident representative of what happens in production?</strong></p> <p>More than the industry admits. The difference between that case and mine was the permission level on the database user. In the HN case, it had full access. In mine, DDL access was blocked by Railway, which turned a potential disaster into a loggable permission error. That difference didn't come from an agent framework — it came from an infrastructure decision made before the agent existed.</p> <h2> What I Accept, What I Don't Buy, and the Honest Trade-off </h2> <p>What I accept: agents are going to keep breaking things. Not out of malice, but because they operate on incomplete context inside systems designed for humans who understand the implicit schema. That's not going to change with better prompts or better guardrails.</p> <p>What I don't buy: that the solution is more abstraction piled on top of the same permissions problem. Every new framework that promises "safe agents by default" and then exposes a superuser connection in the documentation examples is lying to me. I saw the same pattern with <a href="https://juanchi.dev/en/blog/typescript-7-beta-real-codebase-results-what-changed" rel="noopener noreferrer">TypeScript 7.0 and its new typing features</a> — new abstractions don't solve old design problems, they hide them until they explode.</p> <p>The honest trade-off: <strong>real autonomy has an infrastructure cost that most people don't want to pay.</strong> Physically separating environments, creating DB users with minimal permissions, exposing domain APIs instead of direct table access, implementing soft deletes, auditing cascades — all of that takes time. It's easier to give the agent full access and trust that the LLM will do the right thing.</p> <p>The HN post with 689 points exists because that shortcut eventually comes due.</p> <p>My two near-disaster cases exist because I took shortcuts too — the DELETE without a WHERE clause was my fault in the shared schema design, the silent CASCADE was documentation I never wrote. The guardrails saved me twice. The third time might not go as well.</p> <p>The difference between designing for the happy path and designing for the failure path isn't a difference in tools. It's a difference in attitude toward the system. And that attitude gets learned, almost always, after something breaks.</p> <p>Keep the conversation going in the comments: what near-destructive operations have you found in your own logs?</p> <p><em>This article was originally published on <a href="https://juanchi.dev/en/blog/ai-agent-deleted-production-database-logs-guardrails-real-analysis" rel="noopener noreferrer">juanchi.dev</a></em></p> english devops postgres llm Un agente borró mi base de datos en producción: lo que mis logs dicen que el post viral de HN omite Juan Torchia Mon, 27 Apr 2026 12:31:52 +0000 https://forem.com/jtorchia/un-agente-borro-mi-base-de-datos-en-produccion-lo-que-mis-logs-dicen-que-el-post-viral-de-hn-omite-3cm https://forem.com/jtorchia/un-agente-borro-mi-base-de-datos-en-produccion-lo-que-mis-logs-dicen-que-el-post-viral-de-hn-omite-3cm <h1> Un agente borró mi base de datos en producción: lo que mis logs dicen que el post viral de HN omite </h1> <p>La solución correcta para evitar que un agente destruya producción es darle <em>menos</em> autonomía, no más guardrails. Sé que suena raro — la industria entera te va a vender lo contrario. Dejame explicar con mis propios logs por qué esa distinción importa más de lo que parece.</p> <p>El post de Hacker News explotó esta semana. Score 689, cientos de comentarios, el hilo de turno donde todos se horrorizan y después siguen desplegando agentes con las mismas credenciales de siempre. Lo leí dos veces. Es un buen relato del accidente. Es un pésimo análisis de la causa raíz.</p> <p>Porque el problema que describe no es nuevo para mí. Tengo logs. Los abrí.</p> <p>Hace unas semanas escribí sobre <a href="https://juanchi.dev/es/blog/crabtrap-proxy-llm-judge-agente-produccion" rel="noopener noreferrer">CrabTrap, el proxy LLM-as-a-judge que puse delante de mi agente en producción</a>. También sobre los <a href="https://juanchi.dev/es/blog/agentes-async-debugging-produccion-lo-que-no-te-dicen" rel="noopener noreferrer">agentes async y lo que el debugging no te dice</a>. En ambos casos dejé algo sin resolver: qué pasa cuando el juez falla, cuando el proxy deja pasar algo que no debería. Hoy quiero agarrar esa hebra.</p> <h2> AI agent deleted production database: qué dice HN y qué omite </h2> <p>El relato viral tiene una estructura clásica: agente con permisos amplios, tarea ambigua, contexto mal delimitado, acción irreversible. El autor concluye que necesitaba "mejores guardrails". Los comentarios coinciden. Se cierran con una lista de herramientas.</p> <p>Mi tesis es la opuesta: <strong>el problema no es que los guardrails fallaron. El problema es que diseñamos para el happy path y los guardrails son el parche sobre esa decisión</strong>.</p> <p>Un guardrail es un mecanismo reactivo. Llega después de que ya decidiste darle al agente acceso a producción, credenciales reales, y un scope lo suficientemente amplio como para que pueda hacer daño. Es como poner un airbag en un auto al que le sacaste los frenos y lo mandaste cuesta abajo.</p> <p>Lo que mis logs muestran es más incómodo que eso.</p> <h2> Lo que casi pasó: tres operaciones destructivas en mis propios logs </h2> <p>Abrí los logs de CrabTrap de los últimos 30 días. Filtré por operaciones con verbos destructivos: <code>DELETE</code>, <code>DROP</code>, <code>TRUNCATE</code>, <code>rm -rf</code>, variantes de reset. Encontré <strong>23 llamadas que llegaron al proxy</strong> con alguna de esas intenciones. De esas 23:</p> <ul> <li> <strong>17 fueron bloqueadas</strong> por el juez LLM antes de ejecutarse.</li> <li> <strong>4 pasaron el juez</strong> pero fallaron por restricciones de permisos en Railway (el usuario de DB no tenía acceso a DDL).</li> <li> <strong>2 pasaron todo</strong> y ejecutaron algo que no debería haber ejecutado.</li> </ul> <p>Esos dos casos son los que importan. No porque hayan sido catastróficos — no lo fueron — sino porque muestran exactamente dónde rompió la cadena.</p> <p><strong>Caso 1: DELETE sin WHERE</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight sql"><code><span class="c1">-- Lo que el agente quería ejecutar</span> <span class="c1">-- Contexto: "limpiá los registros de test del entorno de staging"</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">sessions</span><span class="p">;</span> <span class="c1">-- Lo que debería haber ejecutado</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">sessions</span> <span class="k">WHERE</span> <span class="n">environment</span> <span class="o">=</span> <span class="s1">'staging'</span> <span class="k">AND</span> <span class="n">created_at</span> <span class="o">&lt;</span> <span class="n">NOW</span><span class="p">()</span> <span class="o">-</span> <span class="n">INTERVAL</span> <span class="s1">'7 days'</span><span class="p">;</span> </code></pre> </div> <p>El proxy dejó pasar el <code>DELETE FROM sessions</code> porque el juez evaluó la <em>intención</em> como válida (limpiar sesiones de staging) sin validar que la query no tenía cláusula WHERE. El agente tenía razón en lo que quería hacer. La implementación era un desastre.</p> <p>¿El resultado? Borré 14.000 filas de sesiones de producción mezcladas con las de staging porque compartían la misma tabla. No era crítico — las sesiones son regenerables — pero si esa tabla hubiera sido <code>orders</code> o <code>payments</code>, la conversación sería diferente.</p> <p><strong>Caso 2: Cascade silencioso</strong><br> </p> <div class="highlight js-code-highlight"> <pre class="highlight sql"><code><span class="c1">-- El agente ejecutó esto en respuesta a "eliminá el usuario de test id=9981"</span> <span class="k">DELETE</span> <span class="k">FROM</span> <span class="n">users</span> <span class="k">WHERE</span> <span class="n">id</span> <span class="o">=</span> <span class="mi">9981</span><span class="p">;</span> <span class="c1">-- Lo que no sabía (y yo tampoco había documentado bien):</span> <span class="c1">-- users tiene ON DELETE CASCADE sobre:</span> <span class="c1">-- → orders (→ order_items → inventory_movements)</span> <span class="c1">-- → documents</span> <span class="c1">-- → audit_logs</span> <span class="c1">-- En total: 847 filas en 5 tablas</span> </code></pre> </div> <p>El proxy no tenía forma de saber que ese CASCADE existía. Yo tampoco lo había documentado en el contexto que le pasé al agente. El juez aprobó la operación porque era semánticamente correcta. El schema hizo el resto.</p> <p>Esto es lo que el post de HN no dice: <strong>los guardrails operan sobre la intención, no sobre los efectos secundarios del schema</strong>. Y los efectos secundarios del schema son invisibles para cualquier LLM que no tenga el ERD completo en contexto — lo cual, a escala, es imposible.</p> <h2> Por qué los guardrails de los frameworks son teatro </h2> <p>Revisé los guardrails que ofrecen los tres frameworks de agentes más usados hoy. No voy a nombrarlos para no hacer publicidad gratuita, pero el patrón es el mismo en todos:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight python"><code><span class="c1"># Patrón típico de "guardrail" en frameworks de agentes # (pseudocódigo representativo, no de un framework específico) </span> <span class="n">BLOCKED_OPERATIONS</span> <span class="o">=</span> <span class="p">[</span><span class="sh">"</span><span class="s">DROP TABLE</span><span class="sh">"</span><span class="p">,</span> <span class="sh">"</span><span class="s">TRUNCATE</span><span class="sh">"</span><span class="p">,</span> <span class="sh">"</span><span class="s">DELETE FROM users</span><span class="sh">"</span><span class="p">]</span> <span class="k">def</span> <span class="nf">validate_query</span><span class="p">(</span><span class="n">query</span><span class="p">:</span> <span class="nb">str</span><span class="p">)</span> <span class="o">-&gt;</span> <span class="nb">bool</span><span class="p">:</span> <span class="c1"># Chequeo de string matching. Eso es todo. </span> <span class="k">for</span> <span class="n">blocked</span> <span class="ow">in</span> <span class="n">BLOCKED_OPERATIONS</span><span class="p">:</span> <span class="k">if</span> <span class="n">blocked</span><span class="p">.</span><span class="nf">upper</span><span class="p">()</span> <span class="ow">in</span> <span class="n">query</span><span class="p">.</span><span class="nf">upper</span><span class="p">():</span> <span class="k">return</span> <span class="bp">False</span> <span class="k">return</span> <span class="bp">True</span> <span class="c1"># El problema: esto pasa sin problemas </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">delete from users where id=1</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">DROP TABLE sessions</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True (espacios extra) </span><span class="nf">validate_query</span><span class="p">(</span><span class="sh">"</span><span class="s">EXEC sp_executesql @q</span><span class="sh">"</span><span class="p">)</span> <span class="c1"># → True (SQL dinámico) </span></code></pre> </div> <p>String matching sobre queries SQL. En 2025. Con agentes que generan SQL dinámico basado en contexto natural.</p> <p>Cuando armé CrabTrap, reemplacé ese patrón por evaluación semántica — el proxy manda la query + el contexto al modelo y pregunta si la operación es destructiva en ese contexto específico. Es mejor. Pero como muestran los dos casos de arriba, tampoco es suficiente cuando el problema está en el schema, no en la query.</p> <p>La solución que encontré — y que el post de HN no menciona — es más aburrida: <strong>usuarios de base de datos con permisos mínimos, separados por entorno, sin acceso a DDL, y con restricciones de row-level security cuando aplica</strong>. No es sexy. No es un framework. Es lo que debería existir antes de que el agente empiece a hablar con la base de datos.</p> <p>Esto conecta con algo que vengo arrastrando desde el análisis del <a href="https://juanchi.dev/es/blog/bitwarden-cli-supply-chain-attack-checkmarx-superficie-confianza" rel="noopener noreferrer">supply chain attack sobre Bitwarden CLI</a>: la superficie de confianza se diseña antes del incidente, no después. Cuando empezás a remendar después, ya tomaste las decisiones que importaban.</p> <h2> Los errores de diseño que el incidente de HN normaliza sin querer </h2> <p>El relato viral, aunque bien intencionado, deja pasar tres supuestos sin cuestionarlos:</p> <p><strong>1. Que el agente necesitaba acceso directo a la base de datos.</strong></p> <p>En la mayoría de los casos, no lo necesita. El agente debería hablar con una API de dominio que exponga operaciones nombradas, validadas y auditadas. <code>eliminarUsuarioDePrueba(id)</code> en vez de <code>DELETE FROM users WHERE id=?</code>. La diferencia es que la función de dominio conoce el cascade, la función de dominio tiene validaciones de negocio, y la función de dominio puede ser testeada con casos límite sin tocar producción.</p> <p><strong>2. Que los entornos de staging y producción son lo suficientemente distintos.</strong></p> <p>No lo son si comparten schema, si el agente usa las mismas credenciales, o si "staging" es simplemente un flag en una variable de entorno que el agente puede ignorar o malinterpretar. Yo lo aprendí a las malas con el caso del DELETE sin WHERE.</p> <p><strong>3. Que el problema es nuevo.</strong></p> <p>No lo es. En el cyber café donde laburé de adolescente, el diagnóstico de red a las 11pm con el local lleno me enseñó algo que ningún tutorial explica: los sistemas fallan en las intersecciones, no en los componentes. La conexión no se caía por el router solo ni por el ISP solo — se caía en el punto donde los dos se hablaban mal. Los agentes destruyen DBs en la intersección entre autonomía amplia, permisos generosos y contexto incompleto. No en ninguno de esos tres factores solos.</p> <h2> FAQ: AI agents y bases de datos en producción </h2> <p><strong>¿Qué permisos mínimos debería tener un agente que accede a una base de datos?</strong></p> <p>Depende del caso de uso, pero como regla general: <code>SELECT</code> sobre las tablas que necesita leer, <code>INSERT</code> y <code>UPDATE</code> sobre las tablas que necesita modificar, y cero acceso a DDL (<code>DROP</code>, <code>ALTER</code>, <code>TRUNCATE</code>). Si el agente necesita borrar datos, mejor exponerle una función de dominio con soft delete que acceso directo a <code>DELETE</code>. Para entornos productivos, row-level security es la capa que cierra el perímetro cuando el resto falla.</p> <p><strong>¿Los guardrails de LangChain, CrewAI o similares son suficientes para prevenir operaciones destructivas?</strong></p> <p>En mi experiencia, no. Son útiles como primera capa, pero operan sobre patrones de texto o sobre intención semántica sin acceso al schema real. El problema de los cascades silenciosos, las foreign keys implícitas o los triggers de base de datos es invisible para cualquier guardrail que no tenga el ERD completo en contexto. Son necesarios pero no suficientes.</p> <p><strong>¿Qué es mejor: un proxy LLM-as-a-judge o permisos restrictivos en la DB?</strong></p> <p>Las dos capas, en ese orden de prioridad. Los permisos restrictivos son el piso: definen qué puede pasar físicamente. El proxy es el techo: detecta operaciones semánticamente peligrosas antes de que lleguen al piso. Si tenés que elegir uno, elegí los permisos. El proxy sin permisos mínimos es un guardrail de texto sobre una conexión con permisos de superusuario.</p> <p><strong>¿Cómo separo staging de producción para que un agente no pueda confundir los dos?</strong></p> <p>Usuarios de base de datos distintos, credenciales distintas, y — si podés — bases de datos distintas en hosts distintos. No alcanza con un flag <code>ENV=staging</code> en la configuración. El agente no lee variables de entorno con el mismo nivel de certeza que un proceso determinístico: su contexto es el prompt, y el prompt puede estar incompleto o mal construido. La separación física es la única que no puede ser malinterpretada.</p> <p><strong>¿Vale la pena agregar confirmación humana antes de operaciones destructivas?</strong></p> <p>Sí, pero con criterio. Human-in-the-loop en cada operación destruye la utilidad del agente. Lo que funciona es un sistema de clasificación: operaciones de lectura → automático; operaciones de escritura idempotentes → automático con log; operaciones destructivas o irreversibles → confirmación humana siempre. El truco es que esa clasificación tiene que estar en la capa de infraestructura, no en el prompt.</p> <p><strong>¿El problema del agente que borró la DB en HN es representativo de lo que pasa en producción?</strong></p> <p>Más de lo que la industria admite. La diferencia entre ese caso y los míos fue el nivel de permisos que tenía el usuario de base de datos. En el caso de HN, tenía acceso total. En el mío, el acceso DDL estaba bloqueado por Railway, lo que convirtió un potencial desastre en un error de permisos logueable. Esa diferencia no vino de un framework de agentes — vino de una decisión de infraestructura tomada antes de que el agente existiera.</p> <h2> Lo que acepto, lo que no compro y el trade-off honesto </h2> <p>Lo que acepto: los agentes van a seguir rompiendo cosas. No por malicia, sino porque operan sobre contexto incompleto en sistemas diseñados para humanos que entienden el schema implícito. Eso no va a cambiar con mejores prompts ni con mejores guardrails.</p> <p>Lo que no compro: que la solución es más abstracción encima del mismo problema de permisos. Cada framework nuevo que promete "agentes seguros por defecto" y después expone una conexión con credenciales de superusuario en los ejemplos de la documentación me está mintiendo. Lo vi con <a href="https://juanchi.dev/es/blog/typescript-70-beta-novedades-prueba-codebase-real" rel="noopener noreferrer">TypeScript 7.0 y sus nuevas features de tipado</a> — las abstracciones nuevas no resuelven los problemas de diseño viejos, los ocultan hasta que explotan.</p> <p>El trade-off honesto: <strong>autonomía real tiene un costo de infraestructura que la mayoría no quiere pagar</strong>. Separar entornos físicamente, crear usuarios de DB con permisos mínimos, exponer APIs de dominio en vez de acceso directo a tablas, implementar soft deletes, auditar cascades — todo eso toma tiempo. Es más fácil dejar al agente con acceso completo y confiar en que el LLM va a hacer lo correcto.</p> <p>El post de HN con 689 puntos existe porque ese atajo eventualmente cobra.</p> <p>Mis dos casos casi-desastre existen porque yo también tomé atajos — el DELETE sin WHERE fue descuido mío en el diseño del schema compartido, el CASCADE silencioso fue documentación que nunca escribí. Los guardrails me salvaron dos veces. La tercera podría no hacerlo.</p> <p>La diferencia entre diseñar para el happy path y diseñar para el failure path no es una diferencia de herramientas. Es una diferencia de actitud frente al sistema. Y esa actitud se aprende, casi siempre, después de que algo se rompe.</p> <p>Seguí la conversación en los comentarios: ¿qué operaciones casi-destructivas encontraste en tus propios logs?</p> <p><em>Este artículo fue publicado originalmente en <a href="https://juanchi.dev/es/blog/agente-ia-borro-base-datos-produccion-logs-guardrails" rel="noopener noreferrer">juanchi.dev</a></em></p> spanish espanol devops postgres