Cómo usar Shodan para localizar dispositivos vulnerables en Interne

Cómo usar Shodan para localizar dispositivos vulnerables en Interne

Imagina que puedes mirar en todos los rincones de Internet y ver millones de dispositivos conectados —desde cámaras web en dormitorios hasta sistemas industriales que controlan centrales eléctricas. ¿Suena como el argumento de una película de ciencia ficción? Bienvenido a la realidad llamada Shodan —el buscador que a menudo se denomina «el buscador más peligroso de Internet».

Recuerdo mi primer encuentro con Shodan —una búsqueda accidental me dio una lista de cámaras de vigilancia sin protección, y con sorpresa descubrí que podía ver en tiempo real la sala de estar de alguien. En ese momento comprendí la verdadera magnitud del problema de la seguridad de los dispositivos IoT.

En este artículo analizaremos en detalle qué es Shodan, cómo usarlo con fines legítimos de seguridad y cuáles son los límites éticos que deben respetarse. Y no, esto no es una guía para hackers —es una herramienta de conocimiento para quienes desean proteger su infraestructura digital y entender las amenazas reales del Internet moderno.

Qué es Shodan y por qué es tan importante

Shodan no es un motor de búsqueda común como Google. Mientras que los buscadores convencionales indexan el contenido de páginas web, Shodan escanea Internet en busca de dispositivos y servicios conectados a la red global. Indexa de todo: desde servidores web y routers hasta refrigeradores inteligentes y sistemas de control industrial.

En esencia, Shodan es el Google para dispositivos del Internet de las cosas (IoT). Pero a diferencia de Google, que te dirá en qué sitios hay información sobre pizza, Shodan te mostrará qué dispositivos en Internet usan versiones obsoletas de software o tienen vulnerabilidades de seguridad conocidas.

¿Por qué es tan importante? Imagina que eres administrador de red en una gran compañía. Necesitas saber cuáles de tus dispositivos son visibles desde Internet y pueden representar un riesgo de seguridad. O eres un investigador en ciberseguridad estudiando la propagación de un tipo concreto de vulnerabilidad. En ambos casos, Shodan es una herramienta valiosa.

Sin embargo, con gran poder viene una gran responsabilidad. Shodan da acceso a información que en manos equivocadas puede usarse con fines maliciosos. Antes de profundizar en los detalles técnicos, hablemos del aspecto ético.

Aspectos éticos y legales del uso de Shodan

Cuando explico por primera vez a los estudiantes las capacidades de Shodan, siempre se escucha un silencio tenso en el aula. «¿Eso es legal?» suele ser la primera pregunta. La respuesta no es tan sencilla como parece.

El uso de Shodan en sí es legal —es simplemente una herramienta de búsqueda de información. No obstante, lo que haces con esa información puede cruzar límites éticos y legales. Aquí algunos principios a seguir:

  • No te introduzcas en sistemas sin permiso. Encontrar un dispositivo vulnerable no te da derecho a conectarte a él o intentar explotar la vulnerabilidad.
  • Respeta la privacidad. Si encuentras información personal a través de un dispositivo desprotegido, no la difundas.
  • Reporta vulnerabilidades de forma responsable. Si detectas un problema grave de seguridad, intenta contactar al propietario del dispositivo o al CERT correspondiente.
  • Usa Shodan para proteger, no para atacar. El objetivo debe ser mejorar la seguridad, no socavarla.

Las leyes sobre delitos informáticos varían según el país. En Rusia, por ejemplo, el acceso no autorizado a información informática está tipificado como delito en el artículo 272 del Código Penal. En Estados Unidos aplica la CFAA (Computer Fraud and Abuse Act), que también prohíbe el acceso no autorizado.

Recuerda: el uso ético de Shodan implica revisar tus propios sistemas o realizar investigaciones con los permisos adecuados.

Comenzando con Shodan: registro e interfaz básica

Ahora que hemos cubierto el aspecto ético, pasemos a la parte práctica. El primer paso es crear una cuenta en Shodan.

Visita el sitio oficial www.shodan.io y pulsa el botón de registro. La cuenta básica es gratuita y ofrece un número limitado de búsquedas (normalmente unas 10-20 al mes). Si te dedicas seriamente a la seguridad, puede valer la pena una suscripción de pago que da acceso a funciones avanzadas y más búsquedas.

Tras registrarte verás la página principal con una barra de búsqueda, muy parecida a la de Google. No te dejes engañar por esa simplicidad: detrás hay una herramienta potente con amplias capacidades de búsqueda.

En la página principal también verás secciones como:

  • Explore — reúne búsquedas populares y hallazgos interesantes de la comunidad
  • Maps — visualiza los resultados en un mapa mundial
  • Images — muestra capturas visuales de dispositivos vulnerables (a menudo capturas de interfaces web)
  • Dashboard — panel personal donde puedes seguir tus búsquedas y ajustes

Es realmente sorprendente lo sencillo que puede ser el interfaz para una herramienta tan compleja y poderosa. Shodan me recuerda a un iceberg —solo una pequeña parte de sus capacidades es visible en la superficie.

Técnicas básicas de búsqueda en Shodan

Ahora lo más interesante —¿cómo buscar dispositivos vulnerables en la práctica? Empecemos con consultas básicas. En Shodan puedes buscar dispositivos según distintos parámetros:

Búsqueda por tipo de dispositivo o servicio

Una de las maneras más simples de comenzar es buscar un tipo concreto de dispositivo o servicio:

  • webcam — encontrará cámaras web accesibles desde Internet
  • apache — mostrará servidores que corren Apache
  • nginx — encontrará servidores con Nginx
  • mysql — bases de datos MySQL accesibles desde el exterior
  • ftp — servidores FTP

Por ejemplo, una consulta simple como webcam puede devolver miles de resultados —y eso es solo el comienzo de la madriguera del conejo. Recuerdo haber encontrado una red completa de cámaras industriales de una fábrica accesibles sin ninguna autenticación. Por supuesto, contacté de inmediato con su departamento de TI.

Búsqueda por ubicación geográfica

Suele ser útil limitar la búsqueda a un país o ciudad:

  • country:RU — dispositivos ubicados en Rusia
  • city:"Saint Petersburg" — dispositivos en San Petersburgo
  • geo:"59.93, 30.30" — dispositivos cerca de las coordenadas indicadas

Combinando estos parámetros puedes, por ejemplo, encontrar todos los servidores MySQL en Moscú con la consulta mysql country:RU city:Moscow.

Búsqueda por organización y proveedor

También puedes buscar dispositivos pertenecientes a una organización concreta:

  • org:"Yandex" — dispositivos pertenecientes a Yandex
  • net:"195.20.0.0/16" — dispositivos en la subred indicada
  • asn:AS12345 — dispositivos en un sistema autónomo determinado

Esto es especialmente útil cuando realizas una auditoría de seguridad de tu propia organización. Puedes descubrir rápidamente qué dispositivos tuyos son visibles desde Internet y potencialmente vulnerables.

Filtros avanzados y operadores de búsqueda

Una vez que domines las consultas básicas, es hora de pasar a filtros más complejos. Aquí es donde se revela el verdadero poder de Shodan.

Búsqueda de sistemas vulnerables

Shodan permite buscar sistemas vulnerables por problemas de seguridad conocidos:

  • vuln:CVE-2021-44228 — encontrará sistemas vulnerables a Log4Shell
  • ssl:poodle — sistemas afectados por la vulnerabilidad POODLE en SSL
  • has_vuln:true — cualquier dispositivo con vulnerabilidades conocidas

Es importante señalar que Shodan no realiza pruebas activas de explotación —solo identifica sistemas que, según sus banners y características, podrían ser vulnerables.

Búsqueda por versiones de software

Las versiones obsoletas de software a menudo contienen vulnerabilidades conocidas:

  • apache version:"2.4.49" — Apache versión 2.4.49 (con una vulnerabilidad conocida)
  • nginx version:"1.16" — Nginx versión 1.16
  • product:MySQL version:"5.5" — MySQL versión 5.5

Cuando doy formaciones en ciberseguridad, frecuentemente demuestro cuántos dispositivos siguen funcionando con versiones de software de hace 5 o 10 años. Eso siempre provoca risas nerviosas en la audiencia —especialmente entre administradores de sistemas.

Operadores lógicos y combinaciones de consultas

Para crear consultas más precisas usa operadores lógicos:

  • AND — para combinar condiciones (todas deben cumplirse)
  • OR — cualquiera de las condiciones puede cumplirse
  • - — exclusión (signo menos antes del término)

Por ejemplo, la consulta apache country:RU -product:"Apache httpd" encontrará dispositivos en Rusia donde se menciona Apache, pero que no son servidores Apache httpd.

Especialmente potente es combinar la búsqueda de vulnerabilidades con el enfoque geográfico. La consulta vuln:CVE-2021-44228 country:RU org:"SomeCompany" puede identificar rápidamente sistemas vulnerables en una organización concreta —esto es lo que hacen tanto investigadores éticos como actores malintencionados.

Comprendiendo los resultados de búsqueda

Cuando ejecutas una búsqueda en Shodan, los resultados pueden parecer al principio complejos de interpretar. Veamos qué significan los distintos elementos en los resultados.

Anatomía de un resultado de búsqueda

Cada resultado contiene un conjunto de información clave:

  • Dirección IP y puerto — identificador único del dispositivo en Internet
  • Nombre de host — si está disponible
  • Ubicación geográfica — país y ciudad
  • Organización — a quién pertenece la dirección IP
  • Banner — información textual que el servicio envía al conectarse
  • Puertos abiertos — qué servicios están accesibles
  • Fecha de escaneo — cuándo Shodan verificó por última vez esa IP

La información más valiosa suele estar en el banner —puede contener la versión del software, información de configuración o incluso credenciales.

¿Qué se puede aprender de un banner?

Los banners son una auténtica mina de información para un investigador de seguridad. Por ejemplo:

  • El banner de un servidor web puede revelar no solo su tipo y versión, sino también módulos instalados e incluso el sistema operativo.
  • El banner de SSH puede mostrar la versión de OpenSSH, los métodos de autenticación disponibles y, a veces, el estado de los parches.
  • El banner de FTP puede contener un mensaje de bienvenida que los administradores olvidan cambiar y que puede revelar información interna sobre la empresa.

Una vez encontré un controlador industrial cuyo banner indicaba que se usaba para gestionar una planta de tratamiento de agua e incluso señalaba la ubicación exacta. Esa fuga de información puede ser críticamente peligrosa.

Evaluación de la seguridad del dispositivo encontrado

¿Cómo saber si un dispositivo encontrado representa una amenaza real de seguridad? Aquí algunos signos de posible vulnerabilidad:

  • Versión obsoleta de software
  • Puertos de administración abiertos (22, 23, 3389)
  • Falta de requerimiento de autenticación
  • Uso de credenciales por defecto o débiles
  • Vulnerabilidades conocidas asociadas al software detectado

Recuerda que Shodan solo muestra que un dispositivo es accesible y qué información divulga. Determinar la vulnerabilidad real requiere análisis adicional —y debe realizarse únicamente sobre sistemas que tengas derecho a probar.

Aplicaciones prácticas de Shodan para evaluar la seguridad

Ahora que hemos cubierto la teoría, veamos escenarios prácticos para el uso legítimo de Shodan en seguridad.

Auditoría del perímetro externo de una organización

Si trabajas en seguridad, Shodan puede ser una herramienta diaria para monitorizar el perímetro externo de tu organización:

  1. Identifica los rangos de direcciones IP de tu organización (normalmente a partir de documentación del proveedor o registros whois).
  2. Usa una consulta como net:195.20.0.0/16 para verificar todos los dispositivos en esa subred.
  3. Revisa los resultados en busca de puertos abiertos no deseados o servicios vulnerables.
  4. Configura alertas en Shodan para monitorizar cambios en tu perímetro externo.

Esa clase de auditoría suele revelar hallazgos sorprendentes —desde servidores de pruebas olvidados hasta dispositivos no autorizados conectados por empleados.

Investigación de vulnerabilidades en sistemas industriales

Los sistemas industriales de control (ICS) y SCADA cada vez se conectan más a Internet, lo que crea riesgos importantes:

  • tag:scada — encuentra sistemas SCADA
  • port:502 — puerto estándar Modbus, usado en sistemas industriales
  • product:"Siemens S7" — encuentra PLC Siemens

Los investigadores de seguridad usan estas consultas para detectar tendencias en la seguridad del Internet industrial y advertir sobre posibles riesgos.

Recuerdo que un colega, usando Shodan, descubrió interfaces de gestión públicas de varios sistemas de soporte vital de edificios en una gran ciudad. Tras una divulgación responsable a los propietarios, esos sistemas fueron debidamente protegidos.

Detección de dispositivos con configuraciones de fábrica

Muchos dispositivos se suministran con credenciales por defecto que los usuarios no cambian:

  • default password — a menudo encuentra dispositivos con mensajes sobre contraseñas por defecto
  • html:"default password" — encuentra interfaces web que mencionan contraseñas por defecto

Para fabricantes e investigadores de seguridad es información valiosa sobre la extensión del problema del uso de credenciales por defecto.

Cómo proteger tus propios dispositivos para no ser detectados por Shodan

Armado con el conocimiento de cómo Shodan encuentra dispositivos vulnerables, puedes usar esa misma información para proteger tu infraestructura. Aquí algunas recomendaciones clave:

Minimiza la huella digital

El primer paso hacia la seguridad es reducir tu huella digital en Internet:

  • Inventario de direcciones IP externas. Conoce qué dispositivos tuyos son visibles desde Internet.
  • Limita la información en los banners. Configura los servidores para que no revelen detalles de versiones y configuración.
  • Usa firewalls y filtra puertos. Restringe el acceso a los dispositivos solo a los puertos necesarios y a fuentes de confianza.

Uno de los métodos más inesperados de fuga de información que he visto son los mensajes de error detallados. Los administradores a menudo configuran mensajes de error que revelan la estructura interna de los sistemas, versiones de software e incluso rutas de archivos.

Configuración segura de dispositivos de red

Para los dispositivos de red es especialmente importante una configuración adecuada:

  1. Cambia las contraseñas y nombres de usuario por defecto en todos los dispositivos.
  2. Actualiza el firmware a las versiones más recientes.
  3. Desactiva servicios y protocolos innecesarios.
  4. Usa VPN para acceso remoto en lugar de abrir accesos directos desde Internet.
  5. Configura registro y monitoreo de intentos de acceso.

Como dijo acertadamente un colega: «La seguridad de la red es como la defensa de un castillo —no basta con tener muros fuertes si dejas el puente levadizo bajado».

Auditoría de seguridad regular

Usa Shodan para revisar tu propia infraestructura:

  • Revisa semanalmente tus rangos de IP en busca de dispositivos accesibles no deseados.
  • Configura alertas en Shodan para notificarte sobre cambios en tu infraestructura.
  • Realiza pruebas de penetración externas periódicas para detectar problemas que puedan haber pasado desapercibidos.

En la industria de la seguridad informática hay un dicho: «O contratas a un hacker o te conviertes en la víctima de uno». La auditoría regular es una forma de encontrar problemas antes de que los encuentre otra persona.

Alternativas y complementos a Shodan

Shodan es una herramienta poderosa, pero no la única de su tipo. Aquí algunas alternativas y herramientas complementarias que pueden ampliar tus capacidades de detección de vulnerabilidades:

Otras búsquedas de dispositivos

  • Censys — similar a Shodan, pero a veces encuentra dispositivos que Shodan pasa por alto
  • ZoomEye — análogo chino de Shodan con buena cobertura en la región asiática
  • FOFA — otra alternativa centrada en la región asiática

Es interesante comparar los resultados de distintos buscadores —a veces detectan dispositivos muy distintos en las mismas redes debido a diferencias en la metodología de escaneo.

Herramientas especializadas para pentesting

Para análisis más profundos de seguridad se usan a menudo herramientas especializadas:

  • Nmap — herramienta clásica para escaneo de puertos y detección de servicios
  • MASSCAN — escáner de puertos extremadamente rápido
  • Nmap NSE scripts — extensiones para Nmap que detectan vulnerabilidades

A diferencia de Shodan, que muestra datos ya recopilados, estas herramientas realizan escaneos activos. Es importante recordar que usarlas contra sistemas sin permiso puede ser ilegal.

Combinar herramientas para máxima eficacia

El enfoque más efectivo es combinar varias herramientas:

  1. Usa Shodan para la detección inicial de dispositivos potencialmente vulnerables.
  2. Aplica Censys para verificar y complementar los resultados de Shodan.
  3. Para dispositivos ya identificados y autorizados para pruebas, usa Nmap para un análisis más detallado.
  4. Documenta los resultados y crea planes de mitigación de vulnerabilidades.

Recuerdo un caso en que un cliente estaba convencido de que su red estaba completamente protegida —Shodan no mostraba puertos abiertos. Pero Censys detectó varios dispositivos en direcciones IP alternativas que el cliente ni siquiera conocía. Eso demostró la importancia de usar diversas herramientas.

Conclusión: equilibrio entre el conocimiento y la responsabilidad

Hemos recorrido el camino desde una introducción a Shodan hasta comprender sus capacidades para localizar dispositivos vulnerables. Ahora sabes cómo usar esta herramienta con fines legítimos de seguridad y cómo proteger tu infraestructura para que no sea detectada.

Shodan suele llamarse «el buscador más peligroso de Internet», pero prefiero verlo como «un espejo que refleja el estado de la seguridad en Internet». No crea vulnerabilidades —solo hace visibles las que ya existen.

En ciberseguridad, la información es poder. Y como cualquier poder, puede ser usada para bien o para mal. Por eso es crucial abordar el uso de Shodan con sentido de responsabilidad y deber ético.

Y para terminar —recuerda que la mejor defensa comienza por reconocer las amenazas. Revisa regularmente tu infraestructura, sigue las novedades sobre vulnerabilidades y nunca dejes de aprender. En un mundo donde las amenazas digitales evolucionan constantemente, el conocimiento y la vigilancia son tu mejor arma.

¿Has usado alguna vez Shodan para comprobar la seguridad de tu red? ¿Qué hallazgos interesantes has encontrado? ¡Comparte en los comentarios!

Alt text
article-title

Hacker