Laboratorio: Búsqueda de Shodan

Objetivos
Parte 1: Obtenga acceso a las funciones gratuitas de Shodan
Parte 2: Investigar los dispositivos IoT conectados

Antecedentes / Escenario
Advertencia: No intente iniciar sesión en ningún dispositivo que encuentre en el motor de búsqueda de
Shodan. Hacerlo viola su acuerdo de piratería ética.
En este laboratorio, utilizará el motor de búsqueda Shodan para comprender por qué la seguridad debe ser el
foco de cualquier implementación de IoT.
Shodan tiene servidores ubicados en todo el mundo que continuamente rastrean Internet en busca de
dispositivos conectados. Puede encontrar dispositivos y tipos de dispositivos específicos. A continuación, se
pueden buscar estos datos. Algunas de las búsquedas más populares incluyen términos como "cámara
web", "contraseñas predeterminadas", "enrutadores", "videojuegos" y más.
Shodan es una herramienta favorita utilizada por investigadores, profesionales de la seguridad, grandes
empresas y equipos de respuesta a emergencias informáticas (CERT).
• Los investigadores pueden utilizar Shodan para extraer información sobre qué dispositivos están
conectados, dónde están conectados y qué servicios están expuestos.
• Los profesionales de la seguridad pueden utilizar Shodan como parte de un plan de pruebas de
penetración para descubrir dispositivos que deben reforzarse para prevenir posibles ataques.
• Las grandes empresas emplean profesionales de la seguridad que deben conocer herramientas como
Shodan para determinar el perfil de riesgo actual de los dispositivos conectados de la empresa.
• Los CERT pueden usar Shodan para generar rápidamente informes sobre un ataque emergente en
dispositivos conectados.
Shodan también es una herramienta utilizada por personas y grupos nefastos a los que comúnmente se hace
referencia como actores de amenazas. Shodan puede acelerar el reconocimiento de un actor de amenazas
de los dispositivos conectados a Internet. Como todas las herramientas de este curso, debe usarlas de
manera responsable de acuerdo con las políticas de piratería ética de su organización.

Recursos necesarios
• Dispositivo con acceso a Internet.
• Artículo sobre pruebas de penetración de SANS, "Aprovechar al máximo las búsquedas de Shodan"

Part 1: Obtenga acceso a las funciones gratuitas de Shodan

En esta parte del laboratorio, navegará hasta el motor de búsqueda de Shodan y se registrará para obtener
una cuenta.
a. Abra un navegador web y navegue hasta Shodan sitio web en https://www.shodan.io/.
b. Cree una cuenta de una de estas dos formas:
1) Si hace clic en Crear una cuenta gratuita, se lo dirigirá a una página donde puede completar un
formulario para crear una cuenta en Shodan.

© 2018 - 2020Cisco y / o sus afiliadas. Todos los derechos reservados. Cisco Public Página 1 de 5 www.netacad.com
Laboratorio: Búsqueda de Shodan

2) Si hace clic en Iniciar sesión o Registrarse, se le dirigirá a una página donde podrá iniciar sesión con
una de las varias cuentas que pueda tener, incluidas Google o Facebook.
c. Después de iniciar sesión correctamente, verá la página de su cuenta, como se muestra a continuación.
Haga clic en el enlace Shodan para volver a la página de inicio.

Part 2: Investigar dispositivos de IoT conectados

En esta parte, se familiarizará con el uso de las funciones de Shodan para buscar dispositivos conectados a
Internet.

Step 1: Utilice las funciones básicas del motor de búsqueda Shodan.

Desde la página principal, puede escribir palabras clave en el campo de búsqueda para obtener una lista de
resultados.
a. Escriba cisco como palabra clave y presione Entrar. ¿Cuántos resultados obtuviste para tu búsqueda?
6,973,795
____________________________________________________________________________________
Nota:No todos los dispositivos que encuentra Shodan son inseguros. Shodan simplemente encuentra
dispositivos a los que se puede acceder desde Internet de acuerdo con un conjunto de criterios de
búsqueda.
b. Mire otra información en el lado izquierdo de la página web. El resultado de su búsqueda se divide en
varias categorías. Cada entrada en una categoría es un enlace en el que se puede hacer clic que
refinará su búsqueda.
5 para Windows 6.1
¿Cuántos resultados, si los hay, hay para el sistema operativo Windows XP? ______________________
c. Aunque Microsoft dejó de admitir Windows XP en abril de 2014, continúa lanzando parches para él
porque todavía hay muchos dispositivos finales que usan el sistema operativo. Utilice una búsqueda en
Internet para descubrir el conocido ciberataque de 2017 que tuvo como objetivo sistemas operativos
Windows más antiguos.
¿Cómo se llamó el ataque, a qué se dirigió y qué hizo?
WannaCry, dirigido a Win7 y WinServer2008 que secuestraba todo el SO
____________________________________________________________________________________
De su investigación, debería haber notado que este ataque se dirigió a sistemas sin parches. Antes del
ataque, Microsoft había publicado parches que abordaban las vulnerabilidades. Los sistemas que se
vieron afectados por el ataque fueron los que no habían descargado ni aplicado los parches. El software
sin parches es un vector de ataque principal para los actores de amenazas. Cualquier dispositivo
conectado es vulnerable a este tipo de ataque. En el panorama de IoT, los dispositivos de parcheo se
vuelven aún más importantes, ya que herramientas como Shodan pueden revelar rápidamente la
información de su dispositivo, incluidas las posibles vulnerabilidades, al mundo.
Nota: No todos los dispositivos descubiertos por Shodan son vulnerables. Los resultados de Shodan
consisten en dispositivos conectados a Internet e información sobre esos dispositivos. Esta información
puede revelar o no vulnerabilidades potenciales.

© 2018 - 2020Cisco y / o sus afiliadas. Todos los derechos reservados. Cisco Public Página 2 de 5 www.netacad.com
Laboratorio: Búsqueda de Shodan

d. En el lado derecho, la sección principal de su búsqueda muestra los dispositivos que coinciden con su
búsqueda. Busque una entrada que le parezca interesante y complete la información a continuación.
201.144.106.133
Dirección IP: _________________________________________________________________________
static.customer-201-144-106-133.uninet-ide.com.mx
Nombre de host: ______________________________________________________________________
UniNet S.A. de C.V.
ISP: ________________________________________________________________________________
Fecha en que se agregó la entrada: 19 de octubre de 2021
_______________________________________________________
Estados Unidos
País: ________________________________________________________________________________
e. Su entrada también mostrará información de banner. Es posible que vea el comienzo de un banner SSH
o un banner HTTP. Haga clic en Detalles para obtener más información sobre su entrada. Debería ver
varios puertos abiertos. Si no es así, pruebe con una entrada diferente. Enumere la información que
encontró a continuación.
Blythe, Estados Unidos
Ciudad y país: _________________________________________________________________________
21, 22, 80, 137, 445
Puertos abiertos:_______________________________________________________________________
Apache/2.4.29 (Ubuntu)
Servicios en ejecución: __________________________________________________________________
ssh-rsa
Tipos de claves: _______________________________________________________________________
f. Regrese a la página de inicio de Shodan y haga clic en Explorar. ¿Cuáles son algunos de los resultados
más votados?
Webcam, Cams, Netcam, default password, ufanet
____________________________________________________________________________________
Uno de los resultados más votados para usted puede haber sido default password. Si es así, haga clic
en default password para ver los resultados. De lo contrario, en el campo de búsqueda, escriba las
palabras clave "contraseña predeterminada", con las comillas y presione Entrar. Verá varios resultados
que muestran contraseñas predeterminadas incrustadas en los banners para dispositivos. Con suerte,
los propietarios de estos dispositivos han cambiado la contraseña predeterminada. Sin embargo, esto
destaca lo fácil que puede ser iniciar sesión en un dispositivo si no se implementan las medidas de
seguridad adecuadas.
Advertencia: No intente iniciar sesión en ningún dispositivo que encuentre en el motor de búsqueda de
Shodan. Hacerlo viola su acuerdo de piratería ética.
g. En el campo de búsqueda, escriba la palabra clave "webcam" con las comillas y presione Entrar. ¿Cuál
es su recuento de resultados totales?
12,138
____________________________________________________________________________________
h. En el campo de búsqueda, escriba la palabra clave "refrigerador" con las comillas y presione Entrar.
¿Cuál es su recuento de resultados totales?
60
____________________________________________________________________________________

Step 2: Utilice palabras clave junto con operadores de búsqueda para filtrar su
búsqueda.
Es posible que haya notado que solo puede obtener dos páginas de resultados con el acceso gratuito a su
cuenta. Sin embargo, incluso con una cuenta de pago, no querrá hacer clic en las páginas que enumeran
miles o millones de resultados. En su lugar, puede combinar palabras clave y operadores de búsqueda para
filtrar sus resultados.
Shodan busca los servicios que se ejecutan en un dispositivo. Luego, recopila información de banner para
cada servicio. Por ejemplo, aquí está la información del banner para el servicio SNMP que se ejecuta en un
dispositivo Cisco encontrado con la búsqueda de Shodan:
Software del sistema operativo Cisco Internetwork

© 2018 - 2020Cisco y / o sus afiliadas. Todos los derechos reservados. Cisco Public Página 3 de 5 www.netacad.com
Laboratorio: Búsqueda de Shodan

Software IOS (tm) 7200 (UBR7200-IK9SU2-M), versión 12.3 (23) BC10, SOFTWARE DE
LIBERACIÓN (fc1)
Soporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 de Cisco Systems, Inc.

Es muy probable que una búsqueda de "cisco" le revele entre uno y dos millones de resultados. Esa
información puede resultarle útil. Sin embargo, si está interesado en información más específica, querrá filtrar
su búsqueda utilizando nombres de filtro y valores de la información del banner.
Por ejemplo, si está interesado en ver cuántos enrutadores Cisco 7200 en los Estados Unidos están
ejecutando el servicio SNMP, debe ingresar la siguiente frase de búsqueda.
"País: producto de EE. UU .:" Cisco 7200 Router "puerto: 161"
Nota: Las búsquedas de Shodan utilizan el código de país de dos letras (alfa-2) basado en la publicación
3166 de la Organización Internacional de Normalización (ISO 3166-1993).
Cree sus propias búsquedas para encontrar lo siguiente:
a. Minecraft es un videojuego popular en el que los jugadores pueden configurar sus propios servidores
para que otros accedan en línea. Utilice una búsqueda en Internet para encontrar la siguiente
información.
25565
¿Cuál es el número de puerto común que utilizan los servidores de Minecraft? ____________
ZA
¿Cuál es el código ISO 3166 alfa-2 para Sudáfrica? __________
¿Qué frase de búsqueda de Shodan puedes usar para descubrir cuántos servidores de Minecraft hay
actualmente en línea en Sudáfrica?
country:ZA port:25565
____________________________________________________________________________________
1,709
¿Cuántos servidores de Minecraft hay actualmente en línea en Sudáfrica? ________________________
b. Moxaes un proveedor de dispositivos que conectan equipos industriales a Internet. ¿Cuántos
dispositivos Moxa están ejecutando el servicio Telnet en Brasil?
Frase de búsqueda:
country:BR product:"moxa"
_______________________________________________________________________
Resultados totales:
100
____________________________________________________________________________________
c. Utilice una búsqueda en Internet o revise las páginas de ayuda y los tutoriales de Shodan para descubrir
cómo puede filtrar sus búsquedas según un rango de direcciones IP.
d. Mr. Robot es una serie de televisión dramática estadounidense que narra las aventuras de un ingeniero
de ciberseguridad. En la serie, el protagonista usa el motor de búsqueda Shodan para investigar una
corporación ficticia. Utilice una búsqueda en Internet para encontrar la cadena de búsqueda que se
utilizó para descubrir el servidor web de E Corp.
¿Qué hilo se utilizó?
org:”Evil Corp” product:”Apache Tomcat”
____________________________________________________________________________________
¿Funciona la cadena en el motor de búsqueda Shodan? Si
_____________________________
192.251.68.223
¿Qué dirección IP devolvió la búsqueda? __________________________________
¿Cuál es la URL de la dirección IP?
compute.evil-corp-usa.com
____________________________________________________________________________________
e. Hay muchos dispositivos domésticos conectados y controlados mediante IoT. Aplique los métodos
utilizados anteriormente para buscar "puerta de garaje" en el estado de Michigan en los Estados Unidos.
¿Cuál fue la cadena de búsqueda que usó?

© 2018 - 2020Cisco y / o sus afiliadas. Todos los derechos reservados. Cisco Public Página 4 de 5 www.netacad.com
Laboratorio: Búsqueda de Shodan

garage door country:"US" state:"MI"

____________________________________________________________________________________
¿Cuántos resultados se devolvieron?
20
____________________________________________________________________________________
¿Cuál fue la primera ciudad en la lista con las puertas de garaje más conectadas?
Clinton Township
____________________________________________________________________________________
¿Cuáles son los riesgos potenciales de que alguien tenga acceso a esta información?
Es posible que puedan acceder desde cualquier parte y controlar cualquiera de los
____________________________________________________________________________________
dispositivos IoT conectados en nuestra red
____________________________________________________________________________________
f. Puede verificar si su dirección IP tiene alguna vulnerabilidad utilizando el escáner de Internet de las
cosas en la siguiente dirección: https://iotscanner.bullguard.com. Haga clic en Comprobar si estoy en
Shodan para permitir que el "Escáner de Internet de las cosas" escanee su dirección IP. Este proceso
puede tardar algún tiempo en completarse.

https://iotscanner.azurewebsites.net/search

© 2018 - 2020Cisco y / o sus afiliadas. Todos los derechos reservados. Cisco Public Página 5 de 5 www.netacad.com