Shodan es un motor de búsqueda creado por el informático suizo John Matherly, que permite localizar cualquier dispositivo conectado a Internet con cualquier agujero de seguridad, como por ejemplo un puerto abierto.
Quizás hayas llegado aquí buscando una kata del estilo Shotokan de Karate. Podrías haber escrito en Google Heian Shodan! Pero este post no va de eso.
Shodan no tiene nada que ver con el Karate sino con un motor de búsquedas para dispositivos conectados al IoT (Internet of Things).
¿A qué dispositivos puedo acceder?
Con el boom de la domótica, la cantidad de dispositivos conectados que tenemos actualmente es inmensa. Shodan funciona como una página web con filtros por ciudad, tipo de puerto… y navegar es tan sencillo como moverse por cualquier otra web.
Así que la respuesta a qué dispositivos se puede acceder es muy sencilla: a todos aquellos que no han aplicado políticas de seguridad. Es decir, los que tienen usuarios y contraseñas por defecto como: “admin/admin”, “1234” o han dejado ciertos puertos abiertos y expuestos a Internet.
La ciberseguridad es lo primero. Lee este post y aprende a evitar un ciberataque.
Accede a una webcam desde Shodan
Una de las informaciones más comprometedoras a la que podemos acceder desde la página de inicio de Shodan es a la de dispositivos de tipo webcam abiertos. No hace falta ser un hacker. Simplemente haciendo clic en “Explore” y seleccionando “Webcam” vemos un listado de cámaras que no están protegidas.
A la izquierda verás un mapa mundial con distintas tonalidades para indicar en qué lugar hay más o menos dispositivos con información vulnerable. Es decir, dispositivos sin seguridad. Se puede hacer un filtrado por país, por Servicio, por Organización o por Producto. A la derecha aparecen los resultados de este filtro, mostrando el tipo de dispositivo, con su geolocalización y una traza que muestra que la comunicación existe con el dispositivo.
Por ejemplo, si entras en el primer VIDEO WEB SERVER puedes ver con precisión milimétrica su geolocalización. Haciendo zoom en el mapa puedes ver incluso el edificio donde está ese dispositivo e incluso el ASN (Access Service Node) que proporciona la conexión a Internet al dispositivo.
Cuidado: si entras a cualquiera de ellas puedes encontrar información confidencial. Que no estén protegidas no te autoriza a utilizarla.
Como lo oyes, en Shodan se puede encontrar cualquier tipo de dispositivo, incluso cajeros automáticos o barcos en mitad del mar. Esto da bastante miedo pero por suerte tiene fácil solución.
Primera regla para proteger tus dispositivos
La mayoría de las cosas que compramos están conectadas a Internet. Es la era del Internet of Things. Al igual que buscadores como Shodan permiten entrar en cámaras desprotegidas, nos permiten como usuarios darnos cuenta de si tenemos un dispositivo desprotegido. Y protegerlo. Aunque lo ideal es que lo hagas nada más sacarlo de su caja 😉
Para empezar configura usuarios y contraseñas distintos a los de por defecto. En cada dispositivo tendrás una forma de hacerlo pero créeme, no te llevará más de 2 minutos. Entra a través del navegador en el dispositivo y cambia el nombre y contraseña por defecto de, por ejemplo, tu webcam. Haz lo mismo con todos aquellos dispositivos que tengas conectados a Internet y con acceso mediante usuario/contraseña: el robot aspiradora, el horno, la iluminación, el frigorífico. Todos son susceptibles de ser hackeados si están inseguros.
Protección extra, que te llevará un poco más de 2 minutos pero te ahorrará problemas en el futuro. Siguiendo con el caso del router te recomiendo adicionalmente que lo configures para que solo ciertas direcciones MAC puedan acceder a él. Es la única forma de garantizar que sólo accedan los dispositivos que hemos autorizado.
Ahora sí: Cómo comprobar si tu dispositivo está en Shodan
Para comprobar si tu dispositivo está en Shodan es muy sencillo. Si quieres averiguar si tu equipo está actualmente en Shodan puedes poner la IP pública de tu equipo en el buscador Shodan y si estás seguro obtendrás un resultado como este:
Para saber cual es tu IP basta con que le preguntes a Google «what is my ip» y el primer resultado es el de tu IP pública ?
Comprueba si tus datos se han filtrado en Collection#1
Espero que después de haber leído este post no aparezca ninguno de tus dispositivos en Shodan. Si aparece, recuerda las recomendaciones que te acabo de dar para evitar usuarios o passwords por defecto. Cuantas más personas sepamos de la existencia de Shodan más concienciados estaremos y menos vulnerables seremos. Palabra de experto en ciberseguridad.
Joan Rodríguez
Santander Global T&O
Soy Ingeniero superior informático y he tenido la gran oportunidad de trabajar en todos los perfiles de desarrollo Waterfall o Agile: Desarrollador, Arquitecto SW, Evangelista del SW, Scrum master, Jefe de proyecto, Team leader, QA tester y Product owner. Me considero una persona inquieta, resiliente, friki y sobre todo muy volcado con mi familia. Ahora estoy haciendo desarrollos de ciberseguridad para el Grupo Santander.
