“Cuando la gente no encuentra algo en Google, se cree que nadie lo puede encontrar. Eso es falso.” Son las palabras de John Matherly, creador de Shodan, o como también se le denomina el Google Negro. La génesis del adjetivo calificativo que adorna a este buscador es que puede desvelar todo aquello que se esconde debajo y detrás (que no es lo mismo) de la Internet superficial a la que recorre Google segundo a segundo.
Así que en vez de buscar en sitios web, Shodan busca en servidores, se mete en impresoras en red, routers, cámaras web y todo aquello que tenga un enlace con Internet, abriéndonos paso a la vidriera una de las fallas de seguridad informática más groseras de la historia.
Segundo a segundo, los robots de Google recorren los encabezados de las páginas de Internet del mundo buscando información relevante para establecer jerarquías, catalogaciones, órdenes… en fin, indizar. La lectura de estas páginas se hace mediante algoritmos que leen determinada información en los archivos que componen a sitios web y están almacenados en servidores. Pero Internet no son htmls, imágenes, PDFs, SWF, txt, xcls y tantos otros indizables, esos son meramente sus habitantes. Detrás de esos contenidos están los contenedores, que en general son servidores o directamente ordenadores de hogar conectados a la red. También tenemos a los enlaces a la red, como los routers, módems, tarjetas y más. Por último en este listado básico, tenemos a los medios de transmisión, como las cámaras web y otros dispositivos. Todos estos componentes tienen una identificación cuando se conectan a la red y también son encontrables. De esto se ocupa Shodan.
Tal y como ellos mismos se definen: SHODAN es un motor de búsqueda que te permite encontrar determinados equipos (routers, servidores, etc) usando una variedad de filtros como si estuvieras en un motor de búsqueda de contenido convencional, como Google, Yahoo! o Bing entre otros. Algunos también han descrito a Shodan como un directorio de escaneo de puertos públicos o como un motor de búsqueda de banners, ambos aceptables denominaciones. Cuando hablamos de banners no nos referimos a la acepción dada a los anuncios publicitarios en Flash, sino a la meta-data que el servidor el devuelve al cliente en cada operación. Por ejemplo, un banner en HTTP podría ser de la siguiente manera:
HTTP/1.0 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
ETag: «»
Location: http://www.neoteo.com/
Server: Microsoft-IIS/7.5
Date: Sun, 07 Apr 2013 08:12:44 GMT
Content-Length: 145
Con esta capacidad, el servicio de Shodan está dispuesto a encontrar, por ejemplo, un determinado equipo corriendo una versión determinada de Linux como servidor. De hecho, puedes buscar todos los equipos que corran una versión exacta de un software que se conecta a la red. También podrás hallar el número de servidores FTP que están corriendo actualmente o qué versión de un software de soporte técnico es el más popular. El Google Oscuro se mueve entonces obteniendo información de al menos 500 millones de dispositivos y servicios por mes, los resultados que ofrece van desde la información técnica de cámaras de seguridad, impresoras y routers hasta sistemas de cremación, semáforos y calefacción conectados a Internet.
Hasta aquí, una aventura nerd imperdible. Pero dijimos que el calificativo de oscuro no era por casualidad, y es que lo que está haciendo Shodan es exponiendo la mayor falla de seguridad de la historia, convirtiéndose en un paraíso para atacantes informáticos o vándalos cibernéticos. Esto es porque se puede encontrar a todos los dispositivos conectados a la red y se puede tomar control de ellos porque al menos la mitad tienen contraseñas por defecto, como admin o1234. Esto hace que, como cuenta el fundador, se pueda tener acceso a un determinado dispositivo y apagarlo. El tema es que el dispositivo bien podría ser un mero router de una casa de familia o un semáforo indicador de cruce ferroviario.
Por supuesto, desde Shodan saben que su plataforma desnuda la desidia del usuario promedio y también la falta de educación e inversión en seguridad informática de las empresas e instituciones. Por esta razón su contenido está disponible para el usuario anónimo con una gran cantidad de limitaciones. La principal es la reducción de las consultas posibles a 10 y las demás son en cuanto a la información desplegada por el buscador terrorífico.
El Google Oscuro se ha puesto al servicio de empresas de seguridad informática, instituciones estatales y universidades mayoritariamente, dejando a los eventuales criminales mirando a través de la vidriera. Eso sí, la vidriera puede saltearse pagando una suscripción al servicio de Shodan.
Quieres saber más sobre Shodan, te dejamos este video para que le des un vistazo.