¿Qué son Shodan y Censys?
Cuando piensas en un buscador, probablemente imaginas Google, Bing o DuckDuckGo. Estos motores indexan páginas web. Shodan y Censys hacen algo distinto: indexan dispositivos conectados a internet.
Mientras Google te muestra sitios web, Shodan te muestra routers, cámaras de seguridad, servidores de bases de datos, paneles de control industrial, impresoras y hasta semáforos conectados. Censys hace lo mismo pero con un enfoque más académico y centrado en certificados SSL/TLS y servicios de red.
Ambos escanean de forma continua todo el espacio de direcciones IPv4 e IPv6, recopilando información sobre los servicios que se ejecutan en cada puerto. Esa información se almacena y se pone a disposición mediante búsquedas con filtros especializados.
Shodan fue creado en 2009 por John Matherly. Censys nació en 2017 como un proyecto de investigación de la Universidad de Michigan. Ambos se usan hoy para ciberseguridad, threat intelligence, investigaciones OSINT y auditorías de exposición.
Nota: Shodan y Censys solo muestran información pública. No hacen nada que un atacante no pudiera hacer manualmente con Nmap. La diferencia es que centralizan y aceleran el proceso de forma masiva.
Creando una Cuenta Gratuita en Shodan
Para empezar a usar Shodan, necesitas una cuenta gratuita. El proceso es simple:
- Ve a shodan.io y haz clic en "Sign Up".
- Ingresa tu correo electrónico y una contraseña.
- Confirma tu cuenta desde el enlace que recibirás por correo.
- Inicia sesión y accede al panel principal.
La cuenta gratuita te permite:
- Realizar 50 resultados por búsqueda (1 página).
- Usar 1 filtro por búsqueda.
- Ver información básica de cada host.
- Acceder a los monitores de red limitados.
La cuenta de pago (desde $59 USD anual para uso de desarrollador) elimina esas restricciones y añade exportación masiva, API sin límite de velocidad y acceso a vulnerabilidades.
Interfaz del Panel Principal
El buscador de Shodan tiene una barra de búsqueda central. A la izquierda aparecen los filtros disponibles: país, ciudad, organización, puerto, sistema operativo y producto. A la derecha se muestran los resultados.
Cada resultado incluye:
- Dirección IP y puerto abierto.
- ISP u organización propietaria del bloque de IP.
- Ubicación geográfica aproximada.
- Banner del servicio: información que el servicio envía al conectarse (versión del software, mensajes de bienvenida, configuraciones).
- Huella digital del sistema operativo detectado.
Consejo práctico: Haz clic en "View Map" sobre cualquier resultado para ver la localización exacta del dispositivo en un mapa mundial.
Filtros Esenciales de Shodan
La potencia de Shodan está en sus filtros. Sin ellos, los resultados son demasiado genéricos. Con ellos, puedes encontrar exactamente lo que buscas.
Filtros por Ubicación
country:MX # México
city:"Monterrey" # Ciudad específica
region:NL # Nuevo León
geo:25.68,-100.31 # Coordenadas exactas (radio de 100 km)
Ejemplo práctico: Cámaras expuestas en México.
country:MX port:554 has_screenshot:true
Este filtro busca dispositivos en México con el puerto 554 abierto (RTSP — protocolo de streaming de video) que además tengan una captura de pantalla disponible. Shodan toma screenshots automáticos de cámaras y otros dispositivos con interfaz web.
Filtros por Servicio y Producto
port:22 # SSH
port:3306 # MySQL
port:3389 # RDP (Escritorio Remoto)
port:5432 # PostgreSQL
port:9200 # Elasticsearch
port:6379 # Redis
product:"Apache httpd"
product:"nginx"
product:"MongoDB"
product:"Jenkins"
Ejemplo práctico: Servidores Jenkins expuestos en México.
product:"Jenkins" country:MX
Con esta búsqueda puedes encontrar instancias de Jenkins que no requieren autenticación. Si el banner muestra "Jenkins ver. X.X.X" y la interfaz es accesible sin login, cualquier persona puede ver trabajos, consolas y artefactos.
Filtros por Organización
org:"Teléfonos de México" # Activos bajo una organización
org:"America Movil"
org:"Universidad Nacional"
hostname:tecnm.mx # Hosts de un dominio específico
Ejemplo práctico: Encontrar todos los dispositivos SSH expuestos de una organización específica.
org:"Universidad Nacional Autónoma de México" port:22
Filtro de Vulnerabilidades
Shodan puede mostrar dispositivos que ejecutan versiones de software con vulnerabilidades conocidas.
vuln:CVE-2021-41773 # Apache Path Traversal
vuln:CVE-2023-46604 # Apache ActiveMQ RCE
vuln:CVE-2024-27198 # JetBrains TeamCity Auth Bypass
Ejemplo práctico: Servidores Apache con vulnerabilidad Log4j en México.
product:"Apache Log4j" country:MX
O más específico:
org:"México" vuln:CVE-2021-44228
Nota: No todos los dispositivos tienen información de vulnerabilidades. Shodan solo muestra CVE cuando puede identificar la versión exacta del software y esa versión tiene una CVE conocida. La cobertura es limitada en la cuenta gratuita.
Filtros de Banner y Texto
Shodan también permite buscar palabras clave dentro del banner capturado del servicio.
"220 ready" # FTP listo para conexión
"login:" # Pantallas de login
"root:" # Acceso root (¡peligro!)
"""
**Ejemplo práctico:** Bases de datos MongoDB sin autenticación.
product:"MongoDB" "MongoDB Server Information" "buildInfo"
---
## Censys: El Buscador Académico de Hosts
Censys fue desarrollado originalmente por Zakir Durumeric y el equipo de investigación de la Universidad de Michigan. Su objetivo era proporcionar a la comunidad académica y de seguridad una visión completa de los hosts y certificados SSL en internet.
### Diferencias Clave con Shodan
| Característica | Shodan | Censys |
|---|---|---|
| Enfoque principal | Dispositivos IoT y servicios | Certificados SSL/TLS y hosts |
| Frecuencia de escaneo | Diaria (puertos comunes) | Continuo (puertos comunes) |
| Puertos escaneados | ~100 puertos | ~100 puertos |
| API gratuita | 50 resultados/mes (API) | 250 resultados/mes |
| Historial de datos | Sí | Sí |
| Interfaz gráfica | Más intuitiva | Más técnica |
| Ideal para | Pentesters y red team | Investigadores académicos |
### Sintaxis de Búsqueda en Censys
Censys usa un lenguaje de consulta estructurado más parecido a SQL que a palabras clave. Los filtros se aplican con formato `campo: valor`.
services.service_name: HTTP services.port: 443 location.country: MX services.software.product: nginx
**Ejemplo práctico:** Buscar servidores web en México.
services.service_name: HTTP AND location.country: MX
**Ejemplo práctico:** Buscar Elasticsearch expuesto.
services.service_name: ELASTICSEARCH AND location.country: MX
### Búsqueda de Certificados SSL
Una de las capacidades más potentes de Censys es la búsqueda de certificados SSL. Puedes encontrar todos los certificados emitidos para un dominio, incluyendo subdominios olvidados.
parsed.names: empresa.com.mx parsed.issuer.organization: "DigiCert"
Esto te permite descubrir infraestructura oculta: si una empresa tiene un certificado SSL para `vpn.empresa.com.mx` que no está linkeado desde ninguna página, Censys lo encontrará igual.
> **Consejo práctico:** Usa Censys para descubrir subdominios de una organización. Los certificados SSL suelen listar todos los nombres de host alternativos (SAN). Es una técnica OSINT muy efectiva para mapear infraestructura.
---
## Ejemplos Prácticos de Búsqueda
### 1. Cámaras IP Expuestas
Las cámaras IP suelen usar puertos como 554 (RTSP), 80/443 (interfaz web) o 37777 (protocolo Dahua). Buscar estas cámaras expuestas es uno de los usos más conocidos de Shodan.
has_screenshot:true port:554 country:MX
product:"Hikvision" country:MX
product:"Dahua" country:MX
Si encuentras una cámara sin autenticación, Shodan suele mostrar una miniatura. Haz clic para ver la captura completa. Muchas cámaras HikVision y Dahua vienen con contraseñas por defecto como `admin/12345`.
### 2. Bases de Datos Abiertas
Las bases de datos expuestas son un hallazgo crítico. Con Shodan puedes encontrarlas fácilmente.
**MongoDB:**
product:"MongoDB" "buildInfo" country:MX
**Elasticsearch:**
product:"Elasticsearch" country:MX
**Redis:**
product:"Redis" country:MX
**MySQL:**
product:"MySQL" port:3306 country:MX
> **Nota:** Encontrar una base de datos expuesta no te da derecho a acceder a ella. Solo reporta el hallazgo al propietario. Acceder sin autorización es ilegal en prácticamente todos los países.
### 3. Jenkins Vulnerable
Las instancias de Jenkins sin autenticación permiten ejecutar comandos arbitrarios en el servidor. Así se busca:
product:"Jenkins" "Anonymous" "Overall/Read" country:MX
Este filtro busca servidores Jenkins donde el usuario anónimo tiene permisos de lectura. Si además tiene permiso de ejecución, cualquier persona puede lanzar builds con comandos maliciosos.
### 4. GitLab, Grafana y Paneles
**GitLab expuesto:**
http.title:"GitLab" "Sign in" country:MX
**Grafana sin autenticación:**
http.title:"Grafana" country:MX
**Paneles de administración genéricos:**
http.title:"Dashboard" http.title:"Admin" country:MX
**phpMyAdmin expuesto:**
http.title:"phpMyAdmin" country:MX
### 5. RDP (Escritorio Remoto) Expuesto
El puerto 3389 (RDP) es uno de los más atacados. Encontrar servidores con RDP expuesto te permite evaluar si una organización tiene acceso remoto sin VPN.
port:3389 country:MX
Puedes filtrar por sistema operativo:
port:3389 country:MX os:"Windows Server 2012"
---
## Aspectos Legales y Éticos
Esta sección es la más importante del artículo.
### ¿Qué es legal?
- **Buscar** información pública en Shodan y Censys es legal. Estos servicios recopilan datos que cualquier persona podría obtener con un escáner de puertos.
- **Visualizar** banners de servicios es legal.
- **Reportar** hallazgos a los propietarios de los sistemas es legal y ético.
- **Usar** Shodan en el contexto de una auditoría de seguridad autorizada es legal.
### ¿Qué NO es legal?
- **Autenticarse** en un sistema ajeno sin autorización. Si encuentras una base de datos sin contraseña, no debes conectarte. Simplemente con saber que está expuesta ya tienes información valiosa.
- **Extraer datos** de un sistema que no te pertenece. Aunque esté abierto sin autenticación, acceder a los datos constituye acceso no autorizado a un sistema informático.
- **Explotar vulnerabilidades** sin permiso explícito por escrito.
- **Compartir** información sensible identificable (datos personales, credenciales) de terceros.
### Marco Legal
- **México:** El Código Penal Federal (Artículos 211 bis 1 al 211 bis 9) tipifica el acceso ilícito a sistemas informáticos. También aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
- **Europa:** El Reglamento General de Protección de Datos (RGPD) impone sanciones severas por el tratamiento no autorizado de datos personales.
- **Estados Unidos:** La Computer Fraud and Abuse Act (CFAA) penaliza el acceso no autorizado a sistemas informáticos.
- **España:** El Código Penal (Artículos 197, 264, 270) sanciona el acceso no autorizado a sistemas y datos.
> **Nota:** La diferencia entre "mirar" y "entrar" es sutil pero crítica en el ámbito legal. Mirar un banner de Shodan es mirar. Conectarse con una herramienta como MongoDB Compass a una base de datos ajena es entrar. La segunda acción requiere autorización expresa.
---
## Cómo Verificar Si TU Organización Está Expuesta
Si trabajas en ciberseguridad o administras redes, deberías revisar periódicamente la exposición de tu organización en estos motores de búsqueda.
### Paso 1: Buscar por Organización
org:"Nombre de tu empresa" country:MX
Usa el nombre exacto que aparece en WHOIS o en los registros de IP. A veces Shodan asigna nombres distintos. Si no aparece nada, prueba con variaciones del nombre.
### Paso 2: Buscar por Rango de IPs
Si conoces el bloque de IPs de tu organización, puedes filtrar por rango:
net:201.xxx.xxx.0/24
### Paso 3: Buscar por Dominio
hostname:tuempresa.com.mx
### Paso 4: Buscar por Certificado SSL
ssl.cert.subject.cn:tuempresa.com.mx
### Paso 5: Revisar Servicios Críticos Expuestos
Prioriza estos servicios si aparecen en los resultados:
- RDP (puerto 3389)
- SSH (puerto 22)
- SMB (puerto 445)
- Bases de datos (3306, 5432, 27017, 9200)
- Jenkins, GitLab, Grafana
- Paneles de administración web
### Paso 6: Configurar Alerta de Monitoreo
Shodan permite crear **monitores de red** (gratis limitado, de pago ilimitado). Con ellos puedes recibir notificaciones cuando aparezcan nuevos dispositivos de tu red en los resultados.
1. Ve a "Monitor" en el menú superior.
2. Añade la IP o rango de IPs a monitorear.
3. Define la frecuencia de escaneo.
4. Recibirás alertas por correo cuando se detecten cambios.
---
## Comparativa: Shodan vs Censys vs ZoomEye
| Característica | Shodan | Censys | ZoomEye |
|---|---|---|---|
| **Año de creación** | 2009 | 2017 | 2013 |
| **Cobertura IPv4** | Completa | Completa | Completa |
| **Cobertura IPv6** | Parcial | Completa | Parcial |
| **Interfaz web** | Excelente | Buena | Aceptable |
| **API** | Robusta, bien documentada | Buena | Limitada |
| **Historial** | 5+ años | 3+ años | 5+ años |
| **Filtro por vulnerabilidad** | Sí (vuln:) | Limitado | No |
| **Screenshots automáticos** | Sí | Sí | No |
| **Certificados SSL** | Básico | Avanzado | Básico |
| **Plan gratuito** | 50 resultados | 250 resultados/mes | 100 resultados |
| **Precio anual básico** | $59 USD | $49 USD | Gratuito limitado |
| **Ideal para** | Pentesters y red team | Investigadores y DFIR | Usuarios casuales |
### ¿Cuál Deberías Usar?
- **Shodan** si haces pentesting, auditorías o buscas dispositivos IoT expuestos.
- **Censys** si investigas certificados SSL, haces trabajos académicos o necesitas mapear infraestructura de forma exhaustiva.
- **ZoomEye** si buscas una alternativa gratuita con búsqueda básica.
Para OSINT avanzado, lo ideal es tener cuentas en los tres y cruzar resultados. Cada plataforma escanea de forma independiente, por lo que un dispositivo puede aparecer en una y no en otra.
> **Consejo práctico:** Stalkphish es otro buscador enfocado exclusivamente en páginas de phishing. Si te interesa la seguridad ofensiva, vale la pena explorarlo.
---
## Automatización con la API de Shodan
Para sacar el máximo provecho, necesitas usar la API de Shodan. Con la cuenta gratuita, el límite es de 50 consultas por mes. Con cuenta de desarrollador ($59/año), el límite es de 1,000,000 consultas al mes.
```bash
# Buscar por API
shodan search --limit 100 country:MX product:"Jenkins"
# Ejemplo básico en Python
import shodan
api = shodan.Shodan('TU_API_KEY')
try:
resultados = api.search('product:"Jenkins" country:MX')
for resultado in resultados['matches'][:10]:
print(f"IP: {resultado['ip_str']} - Puerto: {resultado['port']}")
except shodan.APIError as e:
print(f"Error: {e}")
# Exportar resultados a CSV
shodan download resultados.json.gz country:MX product:"Jenkins"
shodan parse --fields ip_str,port,org,hostnames resultados.json.gz > resultados.csv
Consejo práctico: Para exportar más de 100 resultados necesitas una cuenta de desarrollador o superior. La línea de comandos de Shodan (
shodan) es parte del proyecto oficial y se instala conpip install shodan.
Defensa: Cómo Proteger tu Organización
Si encontraste tus propios dispositivos en Shodan, el siguiente paso es remediar la exposición.
Medidas Inmediatas
- Deshabilitar puertos innecesarios en el firewall perimetral. Si no necesitas RDP abierto a internet, ciérralo.
- Usar VPN para acceso remoto. Ningún servicio administrativo (SSH, RDP, paneles web) debería estar directamente expuesto a internet.
- Cambiar contraseñas por defecto en todos los dispositivos.
- Actualizar firmware y software a las últimas versiones parcheadas.
- Configurar autenticación multifactor en todos los servicios críticos.
Medidas a Largo Plazo
- Monitoreo continuo con Shodan Monitor o servicios similares.
- Escaneos periódicos de superficie de ataque externa.
- Política de gestión de activos que incluya revisión de exposición en buscadores de hosts.
- Segmentación de red para aislar sistemas IoT y OT de la red corporativa principal.
Siguiente Paso
Si te interesó este artículo, te recomendamos continuar con:
- OSINT: Técnicas de Inteligencia en Fuentes Abiertas para Ciberseguridad — La guía fundamental de OSINT con la metodología completa.
- Nmap: Guía Completa de Escaneo de Redes — Aprende a escanear redes manualmente como complemento a los buscadores de hosts.
- Guía Definitiva sobre Phishing e Ingeniería Social — Descubre cómo los atacantes cruzan información de OSINT con ataques de ingeniería social.
- Introducción al Ethical Hacking: Fundamentos y Marco Legal — Integra Shodan en las fases de reconocimiento de un pentesting profesional.