Shodan: el buscador de dispositivos conectados a internet Ciberseguridad
Shodan es un buscador, pero no busca páginas web. Shodan busca dispositivos conectados a internet: servidores, routers, cámaras IP, sistemas de control industrial, bases de datos expuestas, impresoras, semáforos y cualquier cosa con una IP pública y un servicio escuchando en algún puerto. Mientras Google indexa el contenido HTML que los servidores web sirven al mundo, Shodan indexa la otra cara de internet: los banners de servicio que devuelven los puertos abiertos cuando alguien se conecta a ellos.
Shodan fue creado por John Matherly en 2009 y ha evolucionado hasta convertirse en la herramienta OSINT más potente para mapear la superficie de exposición de internet. Lo usan investigadores de seguridad, equipos de red team, analistas de amenazas y académicos estudiando la proliferación del IoT. Shodan no decide qué hace cada uno con sus datos: simplemente los recopila y los indexa.
Si ya viste cómo investigar una IP con OSINT básico y cómo usar Google Dorks, Shodan es el tercer pilar del reconocimiento pasivo. Los tres comparten filosofía: observar información ya pública sin tocar ningún sistema. Pero cada uno mira una parte distinta de internet.
Qué es Shodan y cómo funciona
Shodan recorre constantemente todas las direcciones IPv4 del mundo — unos 4.000 millones — conectándose a los puertos más comunes y guardando los banners que recibe. Cuando consultas Shodan no estás escaneando a nadie: estás consultando lo que Shodan ya vio en su última pasada. Por eso es reconocimiento pasivo desde tu punto de vista, aunque Shodan haga trabajo activo por ti.
⚠ Uso legal y ético de Shodan
Todo lo descrito en este artículo es reconocimiento pasivo desde el punto de vista del investigador. Shodan es quien escanea internet — sus servidores hacen las conexiones a los puertos, no el usuario que consulta. Cuando haces una búsqueda en Shodan consultas una base de datos ya recopilada, igual que cuando buscas en Google. Esta práctica es completamente legal en España y en la mayoría de países.
El límite legal se cruza exactamente en el mismo punto que con Google Dorks: cuando usas la información encontrada para conectarte, autenticarte o interactuar con un sistema ajeno. Ver en Shodan que un RDP está expuesto es OSINT legal; intentar conectarse a ese RDP no lo es. Está tipificado en el Código Penal español (artículos 197 bis y 264).
El concepto base: banner de servicio
Un banner de servicio es la información que devuelve un puerto abierto cuando algo se conecta a él: tipo de servicio, versión del software, sistema operativo probable, certificados SSL, mensajes de bienvenida y, a veces, configuraciones completas. Un servidor SSH muestra su versión de OpenSSH al conectar. Un servidor web devuelve cabeceras HTTP con el nombre del producto. Un MongoDB mal configurado anuncia que acepta conexiones sin autenticación. Todo eso es lo que Shodan guarda e indexa.
Los filtros principales de Shodan
Shodan sin filtros es un buscador por palabra clave — útil pero limitado. Con filtros es cuando Shodan se convierte en una herramienta OSINT seria. Cada filtro acota la búsqueda a un campo específico del banner: puerto, país, producto, versión, organización, sistema operativo, certificado. La sintaxis siempre es filtro:valor.
Nota sobre la cuenta: Shodan permite búsquedas básicas sin registrarse, pero la mayoría de filtros requieren cuenta gratuita, y algunos (como vuln:) requieren membership de pago. Para aprender la técnica la cuenta gratuita sobra.
port: — limita la búsqueda a un puerto concreto
Es el filtro más básico y probablemente el más usado. Cada puerto habla de un tipo de servicio: 22 SSH, 3389 RDP, 3306 MySQL, 27017 MongoDB, 502 Modbus, 5900 VNC. Buscar por puerto te da directamente todos los dispositivos del mundo que exponen ese servicio.
port:3389 port:27017
country: — filtrar por país (código ISO)
Acepta el código de dos letras del país: ES (España), US, DE, RU, CN, etc. Combinado con otros filtros es esencial para reconocimiento dirigido a una región concreta.
country:ES
city: — filtrar por ciudad
Acota al nivel de ciudad según la geolocalización de la IP. La precisión depende de la base de datos GeoIP de Shodan, que no siempre es exacta pero sí suficiente para mapeo general.
city:"Madrid" city:"Vigo"
hostname: — búsqueda por nombre de dominio
Devuelve dispositivos cuyo registro DNS inverso (PTR) o certificado coincide con el dominio indicado. Es el equivalente a mapear la infraestructura expuesta de una organización.
hostname:ejemplo.com
net: — filtrar por rango de IPs en notación CIDR
Útil cuando ya conoces el rango de IPs de un ISP o una organización y quieres ver qué servicios tienen expuestos dentro de ese rango.
net:195.76.0.0/16
org: — filtrar por organización (según WHOIS)
Agrupa dispositivos por la organización propietaria del bloque de IPs según el registro WHOIS. Cada ISP y empresa grande suele tener su bloque asignado con un nombre identificable.
org:"Telefonica de Espana"
product: — filtrar por producto concreto
Busca dispositivos que corren un producto específico de software según su banner. Apache, nginx, OpenSSH, Microsoft-IIS, MongoDB, Redis, cualquier software identificable por su banner.
product:"nginx" product:"OpenSSH"
version: — versión específica del producto
Afina la búsqueda a una versión concreta. Es donde Shodan se vuelve poderoso: permite encontrar todas las instalaciones que corren una versión con vulnerabilidades conocidas.
product:"OpenSSH" version:"7.4"
os: — sistema operativo detectado
Shodan intenta identificar el sistema operativo a partir del banner y otras señales. No siempre acierta, pero en muchos casos sí.
os:"Windows 10" os:"Linux"
has_screenshot:true — dispositivos con captura de pantalla
Shodan captura screenshots de servicios visuales: RDP, VNC, interfaces web de cámaras, paneles de administración. Este filtro devuelve solo resultados que tienen captura asociada.
has_screenshot:true port:5900
vuln: — filtrar por CVE (requiere membership)
Posiblemente el filtro más potente de Shodan. Devuelve dispositivos identificados como vulnerables a un CVE concreto según el banner que exponen. Requiere cuenta de pago pero es el que convierte a Shodan en herramienta de análisis de amenazas a gran escala.
vuln:CVE-2021-44228
Combinando filtros de Shodan: donde empieza el reconocimiento serio
Un filtro solo da mucha información; dos o más filtros combinados permiten construir búsquedas quirúrgicas. Esta es la diferencia entre hojear Shodan como curiosidad y usarlo como herramienta de mapeo de superficie de exposición.
Servidores MongoDB expuestos en España:
port:27017 country:ES
RDP expuesto a internet en una ciudad concreta:
port:3389 city:"Madrid" has_screenshot:true
Servidores nginx con una versión antigua conocida:
product:"nginx" version:"1.14" country:ES
Sistemas industriales Modbus expuestos (ICS/SCADA):
port:502 country:ES
Cámaras IP con interfaz web indexada:
title:"webcam" country:ES
El operador - delante de un filtro lo excluye, igual que en Google. Las comillas fuerzan la búsqueda exacta de cadenas con espacios. Combinando filtros positivos, negativos y búsquedas por palabra se pueden acotar resultados casi hasta el dispositivo individual.
El flujo correcto para usar Shodan en OSINT
Como con cualquier técnica de reconocimiento, ir con búsquedas aleatorias es poco útil. El flujo va de lo amplio a lo concreto y cada paso aporta información que guía al siguiente.
PASO 1
Identificar el objetivo y su superficie de IPs
Antes de abrir Shodan conviene saber qué se busca. Si es un dominio, resuelves su IP primero (con dig, nslookup o el análisis de IP del artículo anterior). Si es una organización, buscas su rango de IPs en WHOIS. Esa IP o rango es el punto de entrada a Shodan.
PASO 2
Buscar la IP directa en Shodan
Una consulta sencilla por IP en el buscador de Shodan muestra todos los puertos abiertos, servicios detectados, versiones de software, certificados SSL, sistema operativo estimado y — si Shodan lo ha detectado — vulnerabilidades conocidas asociadas. Esta es la radiografía inicial del objetivo.
PASO 3
Ampliar a la organización o al rango
Con los filtros org:, net: o hostname: se mapea toda la superficie expuesta, no solo un servidor. Aquí aparecen los servicios que el administrador principal quizá no sabía que tenía abiertos.
PASO 4
Cruzar productos y versiones con CVEs conocidos
Cuando Shodan identifica un producto y versión, el siguiente paso es buscar si esa combinación tiene CVEs publicados. Fuentes habituales: NVD ↗, MITRE CVE ↗ o Exploit-DB. Con la membership de pago, el filtro vuln: automatiza este paso.
PASO 5
Documentar y parar
El OSINT termina donde empieza la interacción. Una vez mapeada la superficie de exposición y los posibles puntos débiles, la fase siguiente — escaneo activo, verificación de vulnerabilidades, explotación — solo se hace con autorización explícita y en entornos autorizados. El reconocimiento pasivo es un entregable en sí mismo: un informe de exposición.
Caso práctico: Shodan en acción
Para ilustrar los tipos de hallazgos típicos en Shodan, cuatro ejemplos de búsquedas reales con filtros genéricos — no dirigidas a ningún objetivo concreto. Todo lo siguiente es información indexada y accesible desde una cuenta gratuita o con membership básica.
Búsqueda 1 — Escritorios remotos RDP expuestos
port:3389 country:ES has_screenshot:true
RDP (Remote Desktop Protocol, puerto 3389) es el servicio de escritorio remoto de Windows. Exponerlo directamente a internet sin VPN ni restricciones de IP es una de las malas prácticas más frecuentes en entornos mal configurados. Shodan además captura la pantalla de bienvenida del RDP, lo que permite ver el nombre del equipo, el dominio, el usuario con sesión iniciada y a veces incluso información corporativa visible en el fondo de escritorio. Esta búsqueda devuelve decenas de miles de resultados solo en España.
Búsqueda 2 — Bases de datos MongoDB sin autenticación
product:"MongoDB" port:27017
MongoDB en sus versiones antiguas venía con autenticación desactivada por defecto. Muchas instalaciones quedaron expuestas a internet en el puerto 27017 con acceso de lectura y escritura sin credenciales, y el banner de Shodan lo indica claramente: muestra las bases de datos disponibles, el tamaño en disco y el número de colecciones. Ha sido una de las fuentes más frecuentes de fugas masivas de datos entre 2015 y 2020, y aún hoy siguen apareciendo instancias expuestas.
Búsqueda 3 — Sistemas industriales Modbus
port:502 country:ES
Modbus es un protocolo industrial antiguo usado en PLCs, sistemas SCADA y automatización de procesos. Funciona sin autenticación por diseño, porque fue creado en 1979 para redes industriales aisladas que nunca deberían haber estado conectadas a internet. Cuando un PLC o una pasarela Modbus queda expuesta en el puerto 502, cualquier dispositivo que se conecte puede leer registros, ver el estado del proceso y — técnicamente — enviar comandos de escritura. Shodan los identifica por el banner de respuesta Modbus. Ver sistemas industriales españoles en esta búsqueda (plantas fotovoltaicas, sistemas de climatización, controladores de agua) es desgraciadamente habitual.
Búsqueda 4 — Cámaras IP con interfaz web indexada
title:"webcam" has_screenshot:true
Las cámaras IP de consumo suelen venir con interfaces web identificables por el título de la página y, en muchos modelos antiguos, con contraseñas por defecto o directamente sin autenticación en la vista pública. Shodan indexa el título y captura la imagen de la interfaz. Es una búsqueda que aparece también en el artículo de Google Dorks — las cámaras expuestas son detectables tanto por el buscador web como por el banner del servicio.
Conclusiones del caso práctico
EXPOSICIÓN. Shodan demuestra que el problema no es la falta de herramientas para atacar sino la abundancia de sistemas mal configurados. El volumen de dispositivos expuestos es tan grande que las búsquedas devuelven decenas o cientos de miles de resultados solo acotando por país.
PASIVO. En ningún momento se ha enviado una petición directa a ningún objetivo. Todo proviene del índice que Shodan ya ha recopilado con sus propios escaneos. Para el investigador, la consulta es tan pasiva como una búsqueda en Google.
DEFENSA. La contramedida básica es conocer la propia exposición antes que los demás. Cualquier administrador debería buscar regularmente su organización, su rango de IPs o sus dominios en Shodan para descubrir qué ven los demás de su infraestructura.
El límite legal al usar Shodan
El razonamiento legal es exactamente el mismo que con cualquier otra técnica OSINT pasiva, pero con Shodan hay un matiz que conviene entender bien: Shodan ya hizo el escaneo activo por ti. Eso no te hace cómplice de nada — Shodan opera dentro del marco legal estadounidense que permite el escaneo de puertos sin explotación — pero sí significa que la información que consultas es, por naturaleza, más granular que la que daría Google.
⚠ Límite claro
Consultar Shodan, leer banners, ver capturas de pantalla y descargar informes → legal, reconocimiento pasivo.
Conectarse a un servicio encontrado en Shodan, aunque esté expuesto y mal configurado → acceso no autorizado, art. 197 bis CP.
Usar información de Shodan para explotar vulnerabilidades o alterar sistemas ajenos → delito informático, art. 264 CP, con agravantes si se trata de infraestructura crítica.
El principio sigue siendo el mismo que en los artículos anteriores: la ausencia de medidas de seguridad no equivale a autorización. Que un MongoDB esté abierto no da derecho a leer su contenido, igual que una puerta sin cerrar no da derecho a entrar en una vivienda. La jurisprudencia europea y española es absolutamente clara en este punto.
Para practicar la fase activa — escaneo con Nmap, enumeración de servicios, explotación de vulnerabilidades conocidas — el entorno adecuado es el laboratorio de pentesting con VirtualBox o plataformas autorizadas como HackTheBox o TryHackMe.
«Google te dice lo que internet quiere enseñarte. Shodan te dice lo que internet enseña sin querer. La diferencia está en la intención de quien publicó — no en la legalidad de quien observa.»
— La Página de Draven · Ciberseguridad · 2026
Referencia rápida: filtros de Shodan
| Filtro | Función | Ejemplo |
|---|---|---|
| port: | Puerto específico | port:3389 |
| country: | País (código ISO) | country:ES |
| city: | Ciudad | city:"Madrid" |
| hostname: | Nombre de dominio | hostname:ejemplo.com |
| net: | Rango CIDR | net:195.76.0.0/16 |
| org: | Organización WHOIS | org:"Telefonica" |
| product: | Producto de software | product:"nginx" |
| version: | Versión específica | version:"7.4" |
| os: | Sistema operativo | os:"Windows 10" |
| title: | Título de la interfaz web | title:"webcam" |
| has_screenshot: | Con captura de pantalla | has_screenshot:true |
| vuln: | CVE específico (pago) | vuln:CVE-2021-44228 |
| – | Excluye el filtro | -country:US |
Conclusión
Shodan cierra la trilogía de reconocimiento pasivo que empezamos con la investigación de una IP concreta y continuamos con Google Dorks. Cada herramienta da una perspectiva distinta del mismo internet: el analizador de IP te enseña un servidor, Google Dorks te enseña documentos indexados, Shodan te enseña el parque global de dispositivos conectados con sus servicios expuestos al mundo.
Lo importante no es cuál es mejor — las tres son complementarias. Un reconocimiento OSINT bien hecho combina las tres fuentes: Shodan para mapear la superficie de exposición, el análisis de IP para profundizar en un servidor concreto, y Google Dorks para descubrir documentos, rutas y configuraciones filtradas. Entre las tres cubren prácticamente toda la fase de reconocimiento pasivo de cualquier auditoría profesional.
Y el principio ético no cambia: observar es legal, interactuar sin permiso no lo es. El OSINT no necesita cruzar esa línea para ser útil.
El siguiente paso natural, ya fuera del reconocimiento pasivo, es entrar en la fase activa: usar lo aprendido con Shodan, Google Dorks y análisis de IP para guiar un escaneo con Nmap, una enumeración de servicios o una prueba controlada de vulnerabilidades — todo ello en el laboratorio de pentesting con VirtualBox que montamos al principio de la serie.
La Página de Draven · Ciberseguridad · Shodan · 2026
#Shodan #OSINT #Ciberseguridad #ReconocimientoPasivo #HackingÉtico #IoT #CVE #SCADA #MásterCiberseguridad #SeguridadInformática #ASIR
