Shodan: el lado oscuro de las búsquedas en Internet, al alcance de cualquiera

Shodan: el lado oscuro de las búsquedas en Internet, al alcance de cualquiera

En el mundo de la ciberseguridad, Shodan ocupa un lugar especial, ofreciendo posibilidades únicas para el análisis y la monitorización de dispositivos en red. Desarrollado por John Matherly en 2009, Shodan se convirtió en el primer buscador del mundo para dispositivos accesibles desde Internet, diferenciándose cualitativamente de los motores de búsqueda tradicionales que indexan solo páginas web.

En este artículo examinamos en detalle el funcionamiento y las capacidades de Shodan, y ofrecemos ejemplos de uso para ayudar a comprender cómo esta herramienta puede ser útil tanto para profesionales de la seguridad como para usuarios habituales de Internet.

¿Cómo funciona Shodan?

Shodan proporciona acceso a información sobre una amplia variedad de dispositivos, desde servidores y routers hasta cámaras web y sistemas de control industrial (ICS). Con el tiempo se ha convertido en una herramienta indispensable para especialistas en seguridad, investigadores y empresas que buscan proteger sus redes y dispositivos.

El principio de funcionamiento de Shodan consiste en escanear continuamente todas las direcciones IP posibles en Internet y sondear todos los puertos accesibles de esos dispositivos. En respuesta, el sistema recibe banners —pequeños paquetes de datos— que contienen información sobre cada dispositivo, incluida su configuración y el software que usa. Esos banners son la principal fuente de datos para Shodan.

La popularidad de Shodan se debe a su capacidad para ofrecer información detallada sobre dispositivos de red y sus configuraciones, lo que lo hace útil no solo para profesionales de la ciberseguridad, sino también para investigadores y particulares interesados en la seguridad de sus redes domésticas.

Esta herramienta permite ver hasta qué punto pueden estar expuestos y ser vulnerables los dispositivos conectados a Internet, y ayuda a tomar medidas para protegerse frente a amenazas potenciales.

Funciones de Shodan

Funciones principales

  • Búsqueda de dispositivos. Shodan permite localizar dispositivos mediante diversos criterios, incluidos la dirección IP, puertos abiertos, tipo de dispositivo, sistema operativo y ubicación geográfica. Por ejemplo, se pueden buscar dispositivos Cisco en Nueva York con la consulta «Cisco city:"New York"».
  • Shodan Maps y Shodan Images. Estas funciones permiten visualizar los resultados de búsqueda en un mapa y ver imágenes procedentes de distintos dispositivos, como cámaras web y servidores VNC. Shodan Maps resulta especialmente útil para comprender la distribución geográfica de dispositivos vulnerables.
  • API para desarrolladores. Shodan ofrece una API que permite automatizar la recopilación de datos e integrar la plataforma con otras herramientas. Esto es especialmente útil para desarrolladores y analistas de ciberseguridad que desean incorporar Shodan en sus propios sistemas de monitorización y análisis.

Búsqueda avanzada

Shodan proporciona numerosos filtros para realizar búsquedas precisas. Aquí algunos de ellos:

  • city: búsqueda de dispositivos en una ciudad concreta («city:"New York"»);
  • country: búsqueda de dispositivos en un país concreto («country:"Russia"»);
  • hostname: búsqueda por nombre de host («hostname:"WIN-R8GXSQXBHR4K"»);
  • product: búsqueda por nombre de producto o software (product:"nginx");
  • os: búsqueda por sistema operativo («os:"linux"»);
  • port: búsqueda por puertos abiertos concretos («port:80»).

Estados del equipo

Cuando Shodan examina un dispositivo, recibe una respuesta en forma de código de estado HTTP. Esos códigos indican el estado de la conexión y pueden ser útiles para entender la disponibilidad y la configuración del dispositivo. También pueden usarse como filtros, por ejemplo, consultando «Cisco 200».

  • 200 (OK). Respuesta exitosa, indica que la solicitud se ejecutó correctamente. El dispositivo responde y, probablemente, está accesible para una investigación adicional.
  • 300 (Multiple Choices). Este estado indica la existencia de varias opciones para la solicitud y que el dispositivo puede redirigir hacia otros recursos. Puede señalar la presencia de varios servicios en un mismo dispositivo.
  • 400 (Bad Request). El dispositivo no entiende la solicitud debido a una sintaxis incorrecta. Puede indicar una configuración incorrecta del dispositivo.
  • 401 (Unauthorized). El acceso al dispositivo está protegido y requiere autenticación. Es importante para comprender el nivel de seguridad del dispositivo.
  • 403 (Forbidden). El dispositivo deniega el acceso aun con autenticación correcta. Puede indicar ciertas reglas de firewall u otras medidas de protección.
  • 404 (Not Found). El dispositivo no encuentra el recurso solicitado. Puede indicar datos obsoletos o erróneos.
  • 500 (Internal Server Error). Se produjo un error interno en el dispositivo, lo que puede señalar problemas de configuración o funcionamiento.

Ejemplos de uso de Shodan

Búsqueda de dispositivos vulnerables

Shodan se usa con frecuencia para localizar dispositivos vulnerables, como cámaras web, routers y sistemas de control industrial. Por ejemplo, puede utilizarse la consulta «product:"nginx" version:"1.14.0"» para buscar servidores nginx con la versión de software 1.14.0. Si existe una vulnerabilidad conocida en un producto determinado, Shodan permite estimar rápidamente la cantidad de dispositivos potencialmente afectados.

Evaluación de la seguridad de redes

Las empresas pueden emplear Shodan para evaluar su infraestructura de red. Shodan Monitor permite supervisar todos los dispositivos accesibles desde Internet dentro de su red y recibir alertas en tiempo real cuando aparecen nuevos dispositivos vulnerables.

Investigación de la infraestructura de Internet

Shodan también es útil para investigaciones y análisis de la infraestructura de Internet. Permite comprender qué dispositivos y tecnologías se utilizan en todo el mundo y cómo se distribuyen geográficamente. Esto es valioso para analistas que realizan estudios globales sobre Internet y amenazas cibernéticas.

Limitaciones de la versión gratuita y planes disponibles

Shodan ofrece varios niveles de acceso a sus funciones y datos mediante diferentes planes. El acceso gratuito permite a los usuarios realizar búsquedas simples y obtener un número limitado de resultados. Los usuarios pueden aplicar algunos filtros básicos para refinar sus consultas y consultar información principal sobre dispositivos y sus configuraciones. El acceso gratuito también incluye funciones básicas de Shodan Maps y Shodan Images para la visualización de datos, y el soporte se limita a la documentación y los foros.

Los planes de pago de Shodan ofrecen funcionalidades ampliadas: 

  • Plan "Freelancer" por $69 al mes. Permite obtener hasta 1 millón de resultados al mes, escanear hasta 5120 direcciones IP y monitorizar la red para la misma cantidad de IP. Los usuarios de este plan acceden a la mayoría de los filtros, pueden paginar los resultados de búsqueda, tienen acceso básico al Streaming API y pueden usar el servicio con fines comerciales. El soporte se ofrece por correo electrónico.
  • Plan "Small Business" por $359 al mes. Aumenta los límites hasta 20 millones de resultados al mes y permite escanear y monitorizar hasta ~ 65.000 direcciones IP. Este plan también incluye acceso a la mayoría de los filtros, paginación de resultados, acceso básico al Streaming API y uso comercial. Además, los usuarios obtienen un filtro de búsqueda de vulnerabilidades y soporte por correo electrónico.
  • Plan "Corporate" por $1099 al mes. Proporciona resultados ilimitados y la posibilidad de escanear y monitorizar hasta ~ 327.000 direcciones IP. Los usuarios de este plan tienen acceso a todos los filtros, paginación de resultados, acceso básico al Streaming API, soporte premium, filtro de búsqueda de vulnerabilidades, consultas por lotes de IP, filtro de búsqueda por etiquetas y actualizaciones complementarias de la membresía.

La elección del plan adecuado de Shodan depende de las necesidades del usuario y del volumen de datos que se planee procesar. El acceso gratuito es apropiado para explorar las capacidades de la plataforma, mientras que los planes de pago ofrecen el potencial completo de Shodan para un uso profesional en ciberseguridad y en inteligencia OSINT.

Conclusión

Shodan es una herramienta potente que ofrece la posibilidad de investigar dispositivos conectados a Internet y detectar amenazas potenciales de seguridad. Pese a que puede ser aprovechada por actores malintencionados, Shodan es también esencial para profesionales de la ciberseguridad, ya que les permite proteger sus redes y dispositivos frente a ataques.

Con el paso de los años, Shodan sigue evolucionando, incorporando nuevas funciones y capacidades para mantenerse en la primera línea de la ciberseguridad. Gracias a su capacidad para analizar y monitorizar una gran cantidad de dispositivos de red, Shodan ofrece oportunidades únicas para la investigación y la protección en la era de la digitalización generalizada.

Esperamos que este material le ayude a comprender mejor las funcionalidades y posibilidades de Shodan, y le enseñe a utilizarlo de forma eficaz en la práctica.

Alt text
article-title

Deni Haipaziorov