Laboratorio – Shodan Buscar

Objetivos
Parte 1: Obtenga acceso a las funciones gratuitas de Shodan
Parte 2: investigar los dispositivos IoT conectados

Antecedentes / Escenario
Advertencia : no intente iniciar sesión en ningún dispositivo que encuentre en el motor de búsqueda de
Shodan. Si lo hace, viola su acuerdo de piratería ética.
En esta práctica de laboratorio, utilizará el motor de búsqueda de Shodan para comprender por qué la
seguridad debe ser el centro de cualquier implementación de IoT.
Shodan tiene servidores ubicados en todo el mundo que continuamente rastrean Internet en busca de
dispositivos conectados. Puede encontrar dispositivos específicos y tipos de dispositivos. Estos datos
pueden entonces ser buscados. Algunas de las búsquedas más populares incluyen términos como "cámara
web", "contraseñas predeterminadas", "enrutadores", "videojuegos" y más.
Shodan es una herramienta favorita utilizada por investigadores, profesionales de la seguridad, grandes
empresas y equipos de respuesta a emergencias informáticas (CERT).
 Los investigadores pueden usar Shodan para extraer información sobre qué dispositivos están
conectados, dónde están conectados y qué servicios están expuestos.
 Los profesionales de la seguridad pueden usar Shodan como parte de un plan de pruebas de
penetración para descubrir dispositivos que deben reforzarse para evitar posibles ataques.
 Las grandes empresas emplean profesionales de seguridad que deben conocer herramientas como
Shodan para determinar el perfil de riesgo actual de los dispositivos conectados de la empresa.
 Los CERT pueden usar Shodan para generar rápidamente informes sobre un ataque emergente en
dispositivos conectados.
Shodan también es una herramienta utilizada por individuos y grupos nefastos comúnmente conocidos como
actores de amenazas. Shodan puede acelerar el reconocimiento de un actor de amenazas de los dispositivos
conectados a Internet. Como todas las herramientas de este curso, debe usarla de manera responsable de
acuerdo con las políticas de piratería ética de su organización.

Recursos necesarios
 Dispositivo con acceso a Internet.
 Artículo de pruebas de penetración de SANS, " Aprovechar al máximo las búsquedas de Shodan "

Part 1: Obtenga acceso a las funciones gratuitas de Shodan

En esta parte de la práctica de laboratorio, navegará hasta el motor de búsqueda de Shodan y se registrará
para obtener una cuenta.
a. Abra un navegador web y vaya al sitio web de Shodan en https://www.shodan.io/.
b. Cree una cuenta de una de estas dos maneras:

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 1de 11
www.netacad.com
Lab - Búsqueda de Shodan

1) Si hace clic en Crear una cuenta gratuita , será dirigido a una página donde puede completar un
formulario para crear una cuenta en Shodan.
2) Si hace clic en Iniciar sesión o Registrarse , se lo dirigirá a una página donde puede iniciar sesión
con una de varias otras cuentas que pueda tener, incluidas Google o Facebook.
c. Después de iniciar sesión correctamente, verá la página de su cuenta, como se muestra a continuación.
Haga clic en el enlace de Shodan para volver a la página de inicio.

Part 2: Investigar dispositivos IoT conectados

En esta parte, se familiarizará con el uso de las funciones de Shodan para buscar dispositivos conectados a
Internet.

Step 1: Utilice las funciones básicas del motor de búsqueda de Shodan.

Desde la página principal, puede escribir palabras clave en el campo de búsqueda para obtener una lista de
resultados.
a. Escriba cisco como palabra clave y presione Entrar . ¿Cuántos resultados obtuviste para tu búsqueda?
R/

Nota: No todos los dispositivos que encuentra Shodan son inseguros. Shodan simplemente encuentra
dispositivos a los que se puede acceder desde Internet de acuerdo con un conjunto de criterios de
búsqueda.
b. Mire otra información en el lado izquierdo de la página web. El resultado de su búsqueda se divide en
varias categorías. Cada entrada en una categoría es un enlace en el que se puede hacer clic que
refinará su búsqueda.
¿Cuántos resultados, si los hay, hay para el sistema operativo Windows XP
R/ No aparece Windows XP

c. Aunque Microsoft dejó de admitir Windows XP en abril de 2014, continúa lanzando parches porque hay
muchos dispositivos finales que todavía usan el sistema operativo. Utilice una búsqueda en Internet para
descubrir el conocido ciberataque de 2017 dirigido a sistemas operativos Windows más antiguos.

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 2de 11
www.netacad.com
Lab - Búsqueda de Shodan

¿Cómo se llamó el ataque, a qué se dirigía y qué hizo?

R/ El 12 de mayo de 2017 entre las 8 y las 17:08 horas UTC3 se registró un ataque a escala mundial que
afectó a las empresas Telefónica,45 Iberdrola y Gas Natural, entre otras compañías en España,6 así
como al servicio de salud británico, como confirmó el Centro Nacional de Inteligencia.7891011 La prensa
digital informaba aquel día que al menos 141 000 computadores habían sido atacados en todo el
mundo.121314
Los expertos sostienen que WannaCry usó la vulnerabilidad EternalBlue, desarrollada por la Agencia de
Seguridad Nacional estadounidense y filtrada por el grupo The Shadow Brokers15, que permite atacar
computadores con el sistema operativo Microsoft Windows1 no actualizados debidamente. La compañía
Microsoft había comenzado a distribuir actualizaciones de seguridad al día siguiente de conocerse esta
vulnerabilidad, el 10 de marzo de 2017,16 a través de Windows Update, pero solamente para las
versiones de Windows posteriores a Windows Vista. El 13 de mayo de 2017, ante la supuesta gravedad
del ataque, publicó un parche separado para Windows 8, Server 2003 y XP.17 Muchos computadores
que no tenían aplicadas las actualizaciones de seguridad MS17-010 de marzo de 2017 quedaron
gravemente afectados,13 con sus archivos cifrados y mostrando un mensaje en pantalla que exigía un
rescate de 300 dólares en bitcoins a cambio de descifrar los archivos.
En realidad, un experto de Reino Unido evitó en gran medida la expansión del ciberataque global. El
autor del blog MalwareTech estaba estudiando el programa dañino cuando se dio cuenta de que el
mismo intentaba conectarse a un dominio no registrado: si no lo lograba, cifraba el equipo; si lo lograba,
se detenía.3 Una vez que este experto en seguridad registró el dominio, a las 17:08 UTC del 12 de
mayo, cesó el ataque. Todas las medidas urgentes que se tomaron a partir de esa hora fueron
prácticamente innecesarias.

De su investigación, debería haber notado que este ataque se dirigió a sistemas sin parches. Antes del
ataque, Microsoft había lanzado parches que abordaban las vulnerabilidades. Los sistemas que se vieron
afectados por el ataque fueron los que no habían descargado ni aplicado los parches. El software sin
parches es un vector de ataque principal para los actores de amenazas. Cualquier dispositivo conectado
es vulnerable a este tipo de ataque. En el panorama de IoT, parchear dispositivos se vuelve aún más
importante ya que herramientas como Shodan pueden revelar rápidamente la información de su
dispositivo, incluidas las posibles vulnerabilidades, al mundo.
Nota : No todos los dispositivos descubiertos por Shodan son vulnerables. Los resultados de Shodan
consisten en dispositivos conectados a Internet e información sobre esos dispositivos. Esta información
puede o no revelar vulnerabilidades potenciales.

d. En el lado derecho, la sección principal de su búsqueda muestra los dispositivos que coinciden con su
búsqueda. Encuentre una entrada que le parezca interesante y complete la información a continuación.
____________________________________________________________________________________
Fecha en que se agregó la entrada: 2022-10-12T01:36:36.293834________________________________
____________________________________________________________________________________

e. Su entrada también mostrará alguna información de banner. Es posible que vea los comienzos de un
banner SSH o un banner HTTP. Haga clic en Detalles para obtener más información sobre su entrada.
Debería ver varios puertos abiertos. Si no, intente con una entrada diferente. Anota la información que
encontraste a continuación.
,
____________________________________________________________________________________
Tipos de clave:
____________________________________________________________________________________

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 3de 11
www.netacad.com
Lab - Búsqueda de Shodan

f. Regrese a la página de inicio de Shodan y haga clic en Explorar . ¿Cuáles son algunos de los resultados
más votados?
R/
Webcam, cam, camera, ip, router, scada, ftp, server, http, iot, test, password, cisco, web, default, login,
ssh, 1, nas, ipcam.

Uno de los resultados más votados para usted puede haber sido la contraseña predeterminada . Si es
así, haga clic en la contraseña predeterminada para ver los resultados. De lo contrario, en el campo de
búsqueda, escriba las palabras clave "contraseña predeterminada", entre comillas, y presione Entrar .
Verá varios resultados que muestran contraseñas predeterminadas incrustadas en los banners para
dispositivos. Con suerte, los propietarios de estos dispositivos han cambiado la contraseña
predeterminada. Sin embargo, esto destaca lo fácil que puede ser iniciar sesión en un dispositivo si no se
implementan las medidas de seguridad adecuadas.

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 4de 11
www.netacad.com
Lab - Búsqueda de Shodan

Advertencia : no intente iniciar sesión en ningún dispositivo que encuentre en el motor de búsqueda de
Shodan. Si lo hace, viola su acuerdo de piratería ética.

g. En el campo de búsqueda, escriba la palabra clave "cámara web" entre comillas y presione Entrar. ¿Cuál
es su cuenta para los resultados totales?

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 5de 11
www.netacad.com
Lab - Búsqueda de Shodan

__________________________________________________________
h. En el campo de búsqueda, escriba la palabra clave "refrigerador" entre comillas y presione Entrar. ¿Cuál
es su cuenta para los resultados totales?

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 6de 11
www.netacad.com
Lab - Búsqueda de Shodan

Step 2: Use palabras clave junto con operadores de búsqueda para filtrar su búsqueda.
Es posible que haya notado que solo puede obtener dos páginas de resultados con el acceso gratuito a su
cuenta. Sin embargo, incluso con una cuenta paga, no querrá hacer clic en las páginas que enumeran miles
o millones de resultados. En su lugar, puede combinar palabras clave y operadores de búsqueda para filtrar
sus resultados.
Shodan busca los servicios que se ejecutan en un dispositivo. Luego recopila información de banner para
cada servicio. Por ejemplo, aquí está la información del banner para el servicio SNMP que se ejecuta en un
dispositivo Cisco encontrado con la búsqueda de Shodan:
Software del sistema operativo Cisco Internetwork
Software IOS (tm) 7200 (UBR7200-IK9SU2-M), versión 12.3(23 )BC10 , SOFTWARE DE VERSIÓN
(fc1)
Soporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 de Cisco Systems, Inc.

Lo más probable es que una búsqueda de "cisco" revele entre uno y dos millones de resultados. Esa
información puede serle útil. Sin embargo, si está interesado en información más específica, querrá filtrar su
búsqueda usando los nombres y valores de filtro de la información del banner.
Por ejemplo, si está interesado en ver cuántos enrutadores Cisco 7200 en los Estados Unidos ejecutan el
servicio SNMP, ingrese la siguiente frase de búsqueda.
país: EE. UU. producto: "Enrutador Cisco 7200" puerto: 161
Nota : las búsquedas de Shodan utilizan el código de país de dos letras (alfa-2) basado en la publicación
3166 de la Organización Internacional de Normalización (ISO 3166-1993).
Cree sus propias búsquedas para encontrar lo siguiente:
a. Minecraft es un videojuego popular en el que los jugadores pueden configurar sus propios servidores
para que otros accedan en línea. Utilice una búsqueda en Internet para encontrar la siguiente
información.
¿Cuál es el número de puerto común utilizado por los servidores de Minecraft?
R/ Por defecto, Minecraft proporciona para ello el puerto TCP 25565.

¿Cuál es el código ISO 3166 alfa-2 para Sudáfrica?

R/ ZA

¿Qué frase de búsqueda de Shodan puedes usar para descubrir cuántos servidores de Minecraft están
actualmente en línea en Sudáfrica?
R/ "Minecraft" country:"ZA" port:25565

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 7de 11
www.netacad.com
Lab - Búsqueda de Shodan

¿Cuántos servidores de Minecraft hay actualmente en línea en Sudáfrica?

R/ 246

Moxa es un proveedor de dispositivos que conectan equipos industriales a Internet. ¿Cuántos

dispositivos Moxa están ejecutando el servicio Telnet en Brasil?
Frase de búsqueda:
"Moxa" country:"BR" port:"23"
Resultados totales:

b. Utilice una búsqueda en Internet o revise las páginas de ayuda y los tutoriales de Shodan para descubrir
cómo puede filtrar sus búsquedas en función de un rango de direcciones IP.
net: Búsqueda de una ip específica o rangos de ip. ip:182.93.44.0/24

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 8de 11
www.netacad.com
Lab - Búsqueda de Shodan

c. Mr. Robot es una serie dramática de televisión estadounidense que narra las aventuras de un ingeniero
de ciberseguridad. En la serie, el protagonista usa el motor de búsqueda Shodan para investigar una
corporación ficticia. Utilice una búsqueda en Internet para encontrar la cadena de búsqueda que se utilizó
para descubrir el servidor web de E Corp.
¿Qué cadena de busqueda se usó?
R/ org:”Evil Corp” product:”Apache Tomcat”

¿Funciona la cadena en el motor de búsqueda de Shodan?

¿Qué dirección IP devolvió la búsqueda?

R/ 192.251.68.223

¿Cuál es la URL de la dirección IP?

R/ compute.evil-corp-usa.com

d. Hay muchos dispositivos domésticos conectados y controlados mediante IoT. Aplique los métodos
utilizados anteriormente para buscar "puerta de garaje" en el estado de Michigan en los Estados Unidos.
¿Cuál fue la cadena de búsqueda que utilizó?
R/ country:”US” product:”garage door” city:"Michigan"

¿Cuántos resultados se devolvieron?

R/ No se encontraron resultados

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 9de 11
www.netacad.com
Lab - Búsqueda de Shodan

____________________________________________________________________________________
¿Cuál fue la ciudad principal de la lista con las puertas de garaje más conectadas?
R/ Houston y Pheonix

____________________________________________________________________________________
¿Cuáles son los riesgos potenciales de que alguien tenga acceso a esta información?
Pueden tomar el control de las puertas de garaje y evitar que las personas puedan ingresar a su lugar de
residencia___________________________________________________________________________
e. Puede verificar si su dirección IP tiene vulnerabilidades utilizando el Internet of Things Scanner en la
siguiente dirección: https://iotscanner.bullguard.com . Haga clic en Verificar si estoy en Shodan para
permitir que el "Internet of Things Scanner" escanee su dirección IP. Este proceso puede tardar algún
tiempo en completarse.
R/ No encontró respuesta.

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 10de 11
www.netacad.com
Lab - Búsqueda de Shodan

 2018 - 2023Cisco y/o sus filiales. Reservados todos los derechos. Información pública de Cisco Página 11de 11
www.netacad.com