Contenido
Operación Nostromo: búsqueda de dispositivos comprometidos antes de que “algo” despierte…
La nave USCSS Nostromo ha recibido una transmisión automática desde un sistema remoto. No se sabe si es una llamada de socorro… o una advertencia.
La compañía ha encomendado al Equipo de Investigación (tus alumnos) usar Shodan para rastrear:
- Señales de dispositivos expuestos
- Orígenes de la transmisión
- Infraestructura del sistema remoto
- Posibles vectores de intrusión
La misión: analizar patrones, encontrar conexiones y trazar el mapa de un “nido” digital escondido.
La actividad se divide en 3 fases, cada una con un objetivo claro y un filtro de Shodan.
FASE 1 — Localizar señales: “Ping de movimiento”
Objetivo: practicar filtros por tipo de dispositivo + país/ciudad.
El sensor de movimiento de la Nostromo detecta actividad anómala en una zona del sistema. Necesitamos saber qué dispositivos expuestos hay allí.
Tareas:
- Buscar un tipo concreto de dispositivo (puerta automatizada, cámara IP, sistema industrial, etc.) Ejemplos:
- Cámaras IP:
product:GoAheadproduct:"Hikvision"port:554 has_screenshot:true - Paneles web expuestos:
http.title:"login"
- Cámaras IP:
- Añadir filtro de ubicación (país o ciudad).
Por ejemplo, España:country:ES product:GoAheadO por ciudad:city:Madrid http.title:login - Apuntar IP, puerto, captura y versión como si fueran “señales biológicas”.
FASE 2 — Identificar el origen de la transmisión
Objetivo: buscar por organización o dominio.
La señal parece provenir de una colonia (una empresa, universidad o dominio). Deben “explorar todas las instalaciones” de ese lugar.
Ejercicios:
- Elegir una organización pública o conocida:
Ejemplos:org:"Universidad Complutense" org:"Telefonica" - Buscar todos los dispositivos de la misma entidad:
hostname:"uic.es" hostname:"unizar.es" - Revisar patrones:
- ¿Qué puertos están abiertos?
- ¿Qué servicios viejos aparecen?
- ¿Hay dispositivos iguales repartidos por varias sedes?
“Se detectan varias salas técnicas, ventilación, terminales…”
Vamos, un nido perfecto para un xenomorfo.
FASE 3 — Conexión entre señales: seguir el rastro del xenomorfo
Objetivo: enlazar un dispositivo concreto → el resto del ecosistema.
Han encontrado una máquina sospechosa que transmite paquetes extraños. La misión es identificar todo el entorno que la rodea.
Cómo hacerlo:
- Selecciona un dispositivo que hayas encontrado en Fase 1.
- Observan:
- dominio
- ASN
- organización
- versión del servicio
- Construyen una nueva búsqueda:
IP: 82.X.X.Xorg: "Ayuntamiento de ___"port 443 running nginx 1.18.0
Entonces buscar:org:"Ayuntamiento de ___"product:"nginx"
O incluso por ASN:asn:3352 (o el ASN que toque) - Buscan patrones:
- ¿Hay varios dispositivos vulnerables?
- ¿Alguno tiene panel expuesto?
- ¿Coinciden versiones?
Misión Ash (ciencia sintética)
Encontrar un dispositivo antiguo que no debería seguir activo:
os:"Windows XP"
o
"Server: Apache/2.2"
Misión Ripley: “Purgar la amenaza”
Buscar servicios críticos abiertos sin autenticación:
port:22 "OpenSSH_7"
port:21 Anonymous
Misión Bishop (android leal)
Buscar paneles que tengan captura para analizar visualmente:
has_screenshot:true city:BarcelonaRegistros:
Informe breve estilo Weyland-Yutani
(Ejemplo de redacción)
- Recomendación para “contención”
- Descripción de la amenaza detectada
- Pruebas (capturas de Shodan)
- Hipótesis del “nido” o red asociada
(Ejemplo de redacción estilo Weyland-Yutani de la ficción de Alien)
Alternativas interesantes a Shodan
| Herramienta / buscador | Qué la hace útil / especialidad |
|---|
| Censys | Escanea infraestructura global, con foco extra en certificados SSL/TLS, puertos, hosts — útil para mapear superficie de ataque de forma sistemática. 5 Minute Breach+2We Live Security+2 |
| ZoomEye | Similar a Shodan; ampliamente usada fuera del “mainstream” occidental. Puede servir para comparar visiones distintas del Internet expuesto. MarPoint+2SecurityVision.ru+2 |
| BinaryEdge | Permite monitorear servicios, puertos abiertos, SSL, accesos remotos — y recibir alertas. Buena opción para vigilancia continua o auditorías periódicas. We Live Security+2LearnHub+2 |
| Fofa | Ofrece sintaxis de búsqueda avanzada, lo que facilita búsquedas muy específicas (por puerto, servicio, sello de software, etc.). Puede servir bien para ejercicios dirigidos. We Live Security+1 |
| GreyNoise | No es exactamente un “scanner” de dispositivos, sino más bien un filtro de ruido: ayuda a clasificar qué direcciones/IPs simplemente están haciendo escaneos automáticos masivos (ruido) frente a actividad potencialmente relevante. Útil para refinar resultados (filtrar falsos positivos). We Live Security+2LearnHub+2 |
| Netlas | Plataforma más reciente, pensada para descubrimiento y monitorización global de “activos conectados”. Puede ser útil si buscas comparar con herramientas más consolidadas. SecurityVision.ru+2Netlas+2 |
⚠️ Cosas a tener en cuenta
- Ninguna herramienta cubre todos los dispositivos — pueden faltar muchos servicios expuestos, por bloqueo, firewalls, NAT, técnicas de evasión.
- Los datos recogidos (puertos, software, banners) pueden estar desactualizados o ser engañosos: muchas veces los sistemas cambian o los banners son falsos.
- Uso de herramientas externas implica responsabilidad ética — incluso si lo haces con fines académicos, siempre debe mantenerse respeto por la privacidad y normas legales.
