La startup useHUMA, dedicada a la detección de bots mediante análisis de comportamiento, descubrió el martes a las 23:00 horas que su formulario de registro había recibido 55.388 inscripciones fraudulentas en apenas horas, todas con el mismo mensaje en turco vinculado a un casino online. El ataque puso en evidencia tres fallos encadenados en su propio sistema: ausencia de rate limiting por IP en el endpoint público de registro, un honeypot que solo detiene bots que cargan el HTML, y una implementación chapucera de su propia API, que era llamada sin señales comportamentales y devolvía una puntuación neutra que pasaba el filtro.
Cada registro falso disparó un correo de verificación a direcciones inexistentes, con riesgo de blacklist del dominio. La empresa atribuye su salvación al límite diario del plan gratuito de su proveedor de correo, que actuó como disyuntor accidental. Esa misma noche, el equipo desplegó cuatro cambios: rate limit de 5 registros por minuto y por IP, filtrado de emails según verificación, borrado de 113.000 filas basura y una consulta SQL semanal de monitorización. Días después, añadió recopilación de señales de comportamiento en el cliente, de modo que los envíos sin señales se rechazan directamente. La compañía enmarca el incidente como una lección pública sobre la necesidad de dogfooding real y rate limiting básico.
