Mente Programable

Qué es Shodan, ejemplos prácticos y casos reales

ivan

hace 1 año

Shodan es un buscador, pero no como los que conocemos habitualmente.

Shodan es un motor de búsqueda diseñado para encontrar dispositivos conectados a Internet. A diferencia de buscadores como Google o Bing, que indexan páginas web, Shodan busca servidores, cámaras de seguridad, routers, sistemas industriales (SCADA), IoT y otros dispositivos accesibles en la red.

Shodan es utilizado en ciberseguridad para identificar vulnerabilidades, analizar la exposición de dispositivos y evaluar riesgos en infraestructuras.

Permite realizar búsquedas avanzadas mediante filtros como IP, país, puerto o sistema operativo, facilitando auditorías de seguridad.

acceso shodan
Página de inicio del sitio web de Shodan.
Índice
  1. ¿Cómo funciona Shodan?
  2. Filtros básicos en Shodan
    1. Combinación de filtros en Shodan
  3. Ejemplos reales de lo que se puede hacer con Shodan
    1. Casos destacados utilizando Shodan
    2. Repositorio con queries de Shodan

¿Cómo funciona Shodan?

Shodan funciona mediante rastreo y escaneo constante de Internet en busca de dispositivos conectados. Usa bots para escanear rangos de IP y recopilar información sobre los servicios que esos dispositivos exponen, como servidores web, bases de datos, cámaras, IoT, entre otros.

Cuando encuentra un dispositivo, Shodan registra su IP, puertos abiertos, banners de servicios y otros datos. Luego, almacena esta información en su base de datos para que pueda ser buscada con filtros avanzados, como por ejemplo filtrar por país "España" introduciendo country:"ES".

Con Shodan veremos qué servicios tiene corriendo una máquina en sus distintos puertos abiertos.

Filtros básicos en Shodan

Shodan permite hacer búsquedas avanzadas con filtros, lo que ayuda a encontrar dispositivos específicos según distintos criterios. Para poder realizar búsquedas con filtros en Shodan, es requisito imprescindible registrarse en el sitio web oficial de Shodan (www.shodan.io). El registro es gratuito.

Es importante utilizar los filtros con responsabilidad y con fines éticos.

Estos son algunos de los filtros más útiles que podemos utilizar en Shodan:

country: Busca dispositivos en un país específico.
Ejemplo: country:"ES" → Dispositivos en España.

city: Filtra por ciudad.
Ejemplo: city:"Madrid" → Resultados solo de Madrid.

port: Busca dispositivos con un puerto abierto en particular.
Ejemplo: port:"3389" → Filtra servidores con RDP (Escritorio Remoto) abierto.

org: Muestra dispositivos de una empresa u organización.
Ejemplo: org:"nombreOrganización" → Servicios de la organización "nombreOrganización".

hostname: Filtra por nombre de dominio o subdominio.
Ejemplo: hostname:"dominio.com" → Encuentra servidores relacionados con dominio.com.

product: Busca dispositivos que usen un software o servicio en particular.
Ejemplo: product:"Apache" → Servidores web con Apache.

os: Filtra por sistema operativo.
Ejemplo: os:"Windows" → Dispositivos con Windows.

before / after: Permite buscar dispositivos indexados antes o después de una fecha.
Ejemplo: before:"2025-01-01" → Resultados anteriores a 2025.

net: Filtra por rango de IPs.
Ejemplo: net:"(número IP)/24" → Busca en un rango específico.

vuln: Busca dispositivos con vulnerabilidades conocidas.
Ejemplo: vuln:"códigoVulnerabilidad" → Dispositivos afectados por dicha vulnerabilidad.

Combinación de filtros en Shodan

También se pueden combinar varios filtros para hacer búsquedas más precisas. Estos son dos ejemplos:

country:"ES" port:"23" product:"Router" → Routers con Telnet abierto en España.
org:"nombreOrganización" port:"445" vuln:"códigoVulnerabilidad" → Dispositivos de la organización "nombreOrganización" vulnerables a "códigoVulnerabilidad".

Ejemplos reales de lo que se puede hacer con Shodan

En este apartado vamos a ver ejemplos concretos de cómo se puede utilizar Shodan. Un ejemplo muy claro y visual es encontrar cámaras web sin autenticación. Vamos a ver este ejemplo y otros casos reales para los que se ha utilizado Shodan.

Casos destacados utilizando Shodan

Shodan ha sido clave para descubrir dispositivos expuestos y vulnerabilidades en infraestructuras críticas. Aquí algunos casos destacados:

Cámaras de seguridad accesibles

Se han encontrado miles de cámaras de vigilancia (CCTV, baby monitors, timbres inteligentes) accesibles sin contraseña o con credenciales por defecto. Esto permite que cualquier persona pueda ver transmisiones en vivo sin autorización.

Ejemplo de búsqueda:
product:"webcam" → Encuentra cámaras expuestas en Internet.
port:"554" has_screenshot:"true" → Cámaras con RTSP abierto y vista previa en Shodan.

Caso real: Se han reportado accesos a cámaras en hogares, tiendas y hasta hospitales.

Servidores RDP (Escritorio Remoto) expuestos

Miles de servidores Windows con RDP abierto (port:3389) han sido descubiertos en Shodan, muchos con credenciales débiles o sin autenticación, facilitando ataques de ransomware y accesos no autorizados.

Ejemplo de búsqueda:
port:"3389" country:"ES" → Servidores RDP abiertos en España.
port:"3389" has_screenshot:"true" → Muestra capturas de pantallas activas.

Caso real: En 2020 un el ransomware ***** usó RDPs abiertos para infectar empresas y pedir rescates millonarios.

Bases de datos sin seguridad

Shodan ha detectado miles de bases de datos expuestas sin contraseña, como MongoDB, Elasticsearch y MySQL. Esto ha llevado a filtraciones masivas de datos personales y financieros.

Ejemplo de búsqueda:
product:"MongoDB" port:"27017" → Bases de datos MongoDB abiertas.
product:"nombreServidor" port:"9200" → Servidores "nombreServidor" sin autenticación.

Caso real: En 2019, casi 3 millones de datos de usuarios de la red social ******* fueron filtrados por un servidor mal configurado.

Dispositivos IoT hackeables

Dispositivos como refrigeradores, bombillas inteligentes y routers domésticos han sido encontrados en Shodan con vulnerabilidades que permiten su control remoto.

Ejemplo de búsqueda:
product:"marcaRouter" port:"80" → Routers de "marcaRouter" con interfaz web abierta.
port:"23" → Dispositivos con Telnet activado (muy inseguro).

Caso real: El botnet ***** usó Shodan para localizar dispositivos IoT inseguros y convertirlos en una red de ataque DDoS que tumbó importantes sitios web en 2016.

Repositorio con queries de Shodan

Para ver ejemplos de consultas en Shodan, existe un repositorio de github al que se accede a través de Google buscando por "awesome shodan queries" o directamente haciendo click aquí.

En este repositorio se pueden encontrar un gran cantidad de queries para lanzar en Shodan. Solo hay que bajar hasta su sección "Table of Contents" y pinchar sobre qué tipo de búsquedas queremos obtener. Hay búsquedas para escritorios remotos, sistemas industriales, webcam, fotocopiadoras, dispositivos del hogar...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir