Saltar al contenido
Breachfolio
CIBERSEGURIDAD · OSINT

Shodan y Censys explicados.

Shodan y Censys son buscadores de dispositivos expuestos en internet: qué indexan, ejemplos reales de consultas, el límite legal, OPSEC y planes gratuitos.

16 de julio, 202613 min de lectura

Google indexa lo que la gente publica: páginas, enlaces, palabras en una pantalla. Shodan y Censys indexan lo que las máquinas exponen: los puertos abiertos, los servicios en ejecución, las versiones de software y los certificados TLS de los dispositivos conectados directamente a internet. Son buscadores de la capa de infraestructura: los routers, servidores, cámaras web, bases de datos, controladores industriales y máquinas de staging olvidadas que responden cuando algo llama a un puerto. Si haces OSINT o defiendes una superficie de ataque, estas dos son de las primeras herramientas que aprendes, y también el par que más confunde a los principiantes. Este artículo explica qué hacen en realidad, en qué se diferencian, cómo consultarlas con ejemplos reales y dónde está el límite legal y ético.

Dirección IPPuertos abiertosBanners de servicioCertificado TLSGeolocalización / ASN
Lo que los buscadores de internet indexan de cada host expuesto.

Buscadores que se conectan, no que rastrean

Un rastreador web como Googlebot sigue hipervínculos. Empieza en una página, lee los enlaces, los sigue y construye un índice de contenido legible para las personas. Nunca abre un puerto en crudo ni le pregunta a un servidor «¿qué estás ejecutando?»: simplemente solicita páginas web igual que lo haría un navegador.

Shodan y Censys funcionan al revés. Escanean de forma continua todo el espacio de direcciones IPv4 enrutable (y una porción creciente de IPv6), conectándose a los puertos habituales —21, 22, 23, 80, 443, 3389 y miles más— y registrando exactamente qué responde. No les importa si algún enlace apunta al dispositivo. Si tiene una IP pública y un servicio a la escucha, tarde o temprano aparece en el índice. Es la misma clase de actividad que un escaneo de puertos a escala de internet, pero hecho una vez, de forma centralizada y almacenado para que puedas consultar los resultados en lugar de escanear tú mismo.

La consecuencia práctica: puedes aprender una cantidad enorme sobre infraestructura expuesta a internet sin enviar jamás un solo paquete al objetivo. Desde tu lado, una búsqueda en Shodan o Censys es pasiva: estás leyendo una base de datos que otra persona ya recopiló.

Qué es un banner y por qué lo es todo

Cuando te conectas a un servicio, normalmente te saluda. Ese saludo —el tipo de servicio, el nombre del software, la versión, las opciones admitidas, a veces un nombre de host o un prompt de inicio de sesión— se llama banner. Capturar banners a escala de internet es el núcleo de lo que hacen estos buscadores. Así se ve un banner HTTP básico cuando lo obtienes a mano:

$ curl -sI http://example.org
HTTP/1.1 200 OK
Server: nginx/1.24.0            # software + versión exacta
Date: Wed, 15 Jul 2026 09:14:02 GMT
Content-Type: text/html
X-Powered-By: PHP/8.2.4         # aquí se filtra aún más detalle de versión

Un servicio SSH es igual de hablador antes incluso de que te autentiques:

$ nc example.org 22
SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13   # protocolo, producto, build, distro

Multiplica eso por cada puerto abierto de internet y tienes Shodan y Censys. Solo con un banner a menudo puedes saber el software exacto, su versión (y por tanto sus vulnerabilidades conocidas), el sistema operativo y, a veces, la organización propietaria.

Qué indexan

Ambos buscadores almacenan mucho más que un banner de texto en crudo. Un registro típico de un host contiene:

  • Puertos y servicios abiertos. Qué puertos responden y qué protocolo habla cada uno (HTTP, SSH, RDP, MQTT, Modbus, etc.).
  • Software y versiones. Extraídos de los banners —nginx 1.24.0, OpenSSH 9.6, MongoDB 7.0—, que se asocian directamente a CVE.
  • Certificados TLS. Subject e issuer, common name (CN) y subject alternative names (SAN), fechas de validez y huellas. Los certificados son una mina de oro para pivotar entre hosts que comparten uno.
  • Metadatos HTTP. Título de la página, cabeceras de respuesta e incluso un hash del favicon: una forma sorprendentemente fiable de identificar una aplicación concreta o un panel de administración.
  • Geolocalización y titularidad de red. País y ciudad aproximados, además del ASN y la organización a la que pertenece la IP (mira cómo se relacionan nombres, IP y redes en dominios vs subdominios).
  • Indicios de vulnerabilidad. Ambos etiquetan hosts con CVE probables según la versión que anuncian. Es una inferencia a partir de un banner, no una prueba de explotabilidad.
  • Capturas de pantalla de servicios web, VNC y RDP expuestos (Shodan, en los planes de pago).

Shodan vs Censys: dos filosofías

Shodan (shodan.io)

Creado por John Matherly y público desde 2009, Shodan es el «buscador de dispositivos conectados a internet» original. Su carácter es centrado en dispositivos y protocolos. Brilla en los rincones raros y no web de internet: sistemas de control industrial (ICS/SCADA), IoT, VNC, RDP, bases de datos, impresoras, equipos marítimos y de automatización de edificios. Aporta datos históricos de banners muy profundos, una sintaxis de filtros amable de una sola línea, una API bien documentada, un cliente oficial de línea de comandos y productos añadidos como Shodan Maps, Images, Monitor y un índice de Exploits. Si tu pregunta es «¿qué cosa extraña hay expuesta en esta red?», Shodan suele llevarte allí primero.

Censys (censys.io)

Censys nació de la investigación académica en la Universidad de Michigan —el mismo grupo detrás del escáner rápido ZMap— y se hizo comercial en 2017. Su carácter es centrado en los datos y los certificados. Realiza escaneos completos de internet con frecuencia, mantiene un esquema de host rigurosamente estructurado y trata los certificados TLS como un conjunto de datos de primer nivel, alimentado tanto por sus propios escaneos como por los registros de Certificate Transparency. El lenguaje de consulta es más verboso pero más preciso: filtras sobre campos anidados explícitos en lugar de palabras clave cortas. Los analistas que quieren datos limpios, estructurados y con mucho certificado para la gestión de la superficie de ataque suelen preferir Censys.

Ninguno es estrictamente «mejor». Shodan es más rápido de ojear y más fuerte en protocolos raros e histórico; Censys es más fuerte en consultas estructuradas, certificados y cobertura fresca de escaneo completo. Los investigadores serios usan ambos y los contrastan.

Consultas de Shodan que usarás de verdad

Los filtros de Shodan son pares key:value; las palabras sueltas son coincidencias de texto completo en el banner. Ten en cuenta que Shodan usa códigos de país de dos letras (ES, no «Spain»). Estos ejemplos están planteados para inventariar infraestructura que posees o que estás autorizado a evaluar:

product:"Apache httpd" country:"ES" port:443   # Apache en el 443, alojado en España
http.title:"Login"                             # páginas cuyo <title> contiene "Login"
org:"Your Company Ltd"                          # todo lo que Shodan asocia a esa org
net:203.0.113.0/24                              # un bloque CIDR concreto que posees
ssl.cert.subject.cn:"example.com"               # hosts que sirven un cert con ese CN
hostname:example.com                            # banners ligados a ese nombre de host
http.favicon.hash:-1234567890                   # todos los hosts que comparten un favicon
vuln:CVE-2021-44228                             # hosts marcados por un CVE (filtro de pago)

Combina filtros con espacios (AND implícito) y antepón - para negar. Antes de lanzar una búsqueda completa, count es tu amigo: devuelve solo el número de coincidencias y es barato:

$ shodan init YOUR_API_KEY
$ shodan count 'port:443 country:ES'
1893472
$ shodan host 8.8.8.8                            # todo lo conocido sobre una IP
$ shodan search --fields ip_str,port,org 'ssl.cert.subject.cn:"example.com"'

Consultas de Censys

Censys Search usa un lenguaje estructurado con rutas de campo explícitas unidas por and / or. Acepta nombres de país y los campos se leen casi como documentación:

services.service_name: HTTP and location.country: "Spain"
services.port: 443 and services.tls.certificates.leaf_data.subject.common_name: "example.com"
autonomous_system.organization: "Your Company Ltd"
services.software.product: "nginx" and location.country_code: ES
dns.names: example.com and services.service_name: HTTPS

La verbosidad es lo que se busca: como cada atributo vive en una ruta conocida, una consulta de Censys es inequívoca y fácil de programar contra la API. La misma idea de pivotar por certificado que en el ssl.cert.subject.cn de Shodan se convierte en el explícito services.tls.certificates.leaf_data.subject.common_name.

La línea de comandos: shodan y nrich

No necesitas la web. La CLI oficial de shodan en Python cubre búsqueda, recuento, consultas de hosts y streaming. Para un triaje rápido de una lista de IP, Shodan también incluye nrich, que consulta el servicio gratuito InternetDB (sin clave de pago) e imprime los puertos abiertos y los CVE conocidos por IP:

$ cat my-ips.txt
203.0.113.10
203.0.113.42
$ nrich my-ips.txt
203.0.113.10 (host.example.com)
  Ports: 22, 80, 443
  CVEs:  CVE-2023-38408
203.0.113.42
  Ports: 3389
  CVEs:  None found

Ese único comando convierte una lista de IP en crudo en un primer informe de exposición: ideal para auditar tus propios rangos.

Usos legítimos y el límite legal

Son herramientas convencionales y defendibles cuando se usan para lo correcto:

  • Conoce tu propia superficie de ataque. Busca tus bloques CIDR, el nombre de tu organización y el CN de tus certificados para encontrar shadow IT, servidores de staging olvidados, bases de datos expuestas e interfaces de gestión que nunca pretendiste publicar.
  • Inteligencia de amenazas. Identifica y rastrea infraestructura del adversario, paneles de C2 y kits de phishing por certificado, hash de favicon o firma de banner.
  • Investigación y medición. Estudia cómo se propaga una vulnerabilidad o con qué rapidez parchea internet tras una divulgación.
  • Investigaciones. Enriquece una IP o un dominio durante una indagación: esto encaja de forma natural con investigar un dominio sospechoso y leer WHOIS.

Ahora el límite, dicho sin rodeos. Consultar Shodan o Censys es OSINT pasivo: estás leyendo un conjunto de datos, no tocando el objetivo, y mirar un banner que alguien decidió exponer no es delito. Pero los resultados son direcciones de sistemas reales, y lo que hagas a continuación es donde vive la ley. En el momento en que te conectas a un dispositivo descubierto que no es tuyo, pruebas una credencial por defecto o filtrada, envías entrada para sondear fallos o ejecutas un exploit, has abandonado el OSINT y casi con seguridad has infringido la legislación sobre abuso informático: la Computer Fraud and Abuse Act de EE. UU., la Computer Misuse Act del Reino Unido y sus equivalentes en otros lugares. «Estaba abierto en Shodan» nunca ha sido una defensa. Observa, no interactúes; documenta, no explotes; y actúa solo contra sistemas que posees o para los que tienes autorización explícita y por escrito para probar.

OPSEC y los límites de los planes gratuitos

Como consultas los buscadores en lugar del objetivo, tus búsquedas no aparecen en los registros del objetivo, pero el proveedor del buscador sí te registra a ti. Úsalo en consecuencia y ten presentes los topes de los planes gratuitos:

  • Shodan. Se exige una cuenta gratuita incluso para usar filtros, y limita cuánto ves. Históricamente Shodan vende una membresía vitalicia de pago único (a menudo con descuento) que desbloquea más filtros, resultados y créditos de consulta de API; algunos filtros (como vuln:) y las capturas de pantalla requieren planes superiores. Vigila tus créditos de consulta de la API: count gasta muchos menos que un search completo.
  • Censys. Un plan comunitario gratuito da un número limitado de consultas al mes y una paginación de resultados superficial, con la exportación masiva y los conjuntos de datos más ricos reservados a los planes de pago.
  • OPSEC general. Investiga desde una cuenta dedicada y, para trabajo sensible, un perfil de navegador o una VM aparte tras una VPN. Nunca conviertas un resultado de búsqueda en una conexión no autorizada. Si de verdad necesitas verificar activamente un host, hazlo solo dentro de un alcance firmado, y recuerda que el escaneo activo tiene una postura legal distinta a la de consultar un índice.

Alternativas que conviene conocer

  • ZoomEye: un buscador de dispositivos y aplicaciones web de Knownsec, históricamente fuerte en activos de Asia, con una sintaxis de dorks tipo Shodan (app:/country:) y un plan gratuito basado en créditos.
  • FOFA: un buscador chino de activos de internet conocido por sus potentes consultas de fingerprint sobre los campos title=, body=, cert= y domain=; excelente para cazar infraestructura clonada.
  • Netlas: datos de escaneo de internet consultables (hosts, certificados, DNS, WHOIS) con un DSL de consulta estilo Elasticsearch y una cuota diaria gratuita relativamente generosa.
  • GreyNoise: el diferente, y el complemento perfecto. En lugar de catalogar dispositivos expuestos, caracteriza a los escáneres. Cuando una IP golpea tu firewall, GreyNoise te dice si es «ruido de fondo» de internet que machaca a todo el mundo o algo que de verdad te está apuntando a ti, y su conjunto de datos RIOT marca servicios comunes benignos: una reducción enorme de falsos positivos durante el triaje.
  • Shodan Exploits y Exploit-DB: una vez que tienes una versión a partir de un banner, estos la asocian a exploits y PoC conocidos. Úsalos para entender y priorizar el riesgo en tus propios sistemas, nunca para atacar a otros.

Los buscadores, cara a cara

Buscador¿Plan gratuito?Fuerte enEstilo de consulta
ShodanSí (limitado); membresía de pago único habitualIoT, ICS/SCADA, protocolos raros, histórico, exploitsFiltros cortos key:value, p. ej. port:443 org:"..."
CensysSí (consultas mensuales limitadas)Certificados, datos de host estructurados, escaneos completos frescosRutas de campo explícitas, p. ej. services.port: 443 and ...
ZoomEyeSí (basado en créditos)Aplicaciones web y activos, buena cobertura de AsiaDorks, p. ej. app:"nginx" country:"CN"
NetlasSí (cuota diaria)Certificados, DNS/WHOIS, respuestas en un solo sitioDSL estilo Elasticsearch, p. ej. http.title:"Login"

Herramientas y recursos

La mentalidad que lo une todo es sencilla. Shodan y Censys no hackean nada; ponen un espejo frente a internet y te dejan leer lo que ya está expuesto. Eso los hace indispensables para los defensores que auditan su propia superficie y para los investigadores que cartografían la más amplia, y pone todo el peso ético en el paso posterior a la búsqueda. Encuentra, entiende y corrige lo que es tuyo. Nunca toques lo que no lo es.

Preguntas frecuentes

¿Es legal usar Shodan?
Sí. Buscar en Shodan (o Censys) es OSINT pasivo: consultas una base de datos de banners que el buscador ya recopiló, no te conectas ni atacas ningún objetivo, así que el simple hecho de mirar es legal en la gran mayoría de jurisdicciones. Las usan a diario defensores, investigadores y académicos. La legalidad cambia por completo según lo que hagas con un resultado: en el momento en que te conectas a un dispositivo que no es tuyo, pruebas una credencial, sondeas fallos o ejecutas un exploit, entras en acceso no autorizado y probablemente infringes leyes como la Computer Fraud and Abuse Act de EE. UU. o la Computer Misuse Act del Reino Unido. «Estaba expuesto en Shodan» no es una defensa. Observa y documenta; nunca interactúes con sistemas que no estás autorizado a probar.
Shodan vs Censys: ¿cuál es mejor?
Ninguno es mejor de forma universal; tienen fortalezas distintas. Shodan es más rápido de ojear, tiene una sintaxis de filtros de una línea más amable, conserva datos históricos profundos y es más fuerte en IoT, sistemas de control industrial y protocolos no web poco habituales. Censys tiene un lenguaje de consulta estructurado más rígido pero más preciso, excelentes datos de certificados TLS alimentados por Certificate Transparency y escaneos completos de internet frecuentes que mantienen la cobertura fresca. Para dispositivos expuestos raros y una ojeada rápida, tira de Shodan; para trabajo de superficie de ataque estructurado y con muchos certificados que vas a programar, tira de Censys. Los analistas con experiencia usan ambos y los contrastan, porque cada uno ve de vez en cuando un host que al otro se le escapa.
¿Es gratis Shodan?
En parte. Puedes ver algunos resultados y necesitas una cuenta gratuita para usar filtros siquiera, pero el plan gratuito limita cuántos resultados y qué filtros puedes usar. Shodan ha vendido históricamente una membresía vitalicia de pago único (con descuento a menudo) que desbloquea más filtros, capturas de pantalla, conjuntos de resultados más grandes y créditos de consulta de API, con planes de suscripción superiores para uso intensivo o comercial. Censys ofrece un modelo similar: un plan comunitario gratuito con un número limitado de consultas mensuales y paginación superficial, y planes de pago para datos masivos y los conjuntos de datos más ricos. Para un triaje de hosts a coste cero, InternetDB de Shodan y la CLI nrich no necesitan clave de pago alguna.
¿Puede Shodan encontrar mis dispositivos y cómo los protejo?
Si un dispositivo tiene una IP pública con un servicio a la escucha, Shodan y Censys lo indexarán tarde o temprano; no hace falta ningún enlace ni exposición por tu parte más allá de ser accesible. Para reducir tu huella: pon las interfaces de gestión (SSH, RDP, bases de datos, paneles de administración) tras una VPN o un firewall en lugar de en internet abierto, cierra los puertos que no necesites, exige autenticación en todas partes y cambia las credenciales por defecto, mantén el software parcheado para que los banners de versión no anuncien CVE conocidos, y busca periódicamente tus propios rangos de IP, el nombre de tu organización y los common names de tus certificados en ambos buscadores para detectar cualquier cosa expuesta por error. Shodan Monitor y las funciones de superficie de ataque de Censys pueden avisarte cuando aparece algo nuevo.
Shodan vs Nmap: ¿cuál es la diferencia?
Responden preguntas relacionadas de formas opuestas. Nmap es un escáner activo: lo apuntas a los objetivos y les envía paquetes en tiempo real para descubrir puertos, servicios y versiones, lo que significa que toca el objetivo, aparece en sus registros y requiere autorización para ser legal contra sistemas que no son tuyos. Shodan es un buscador sobre datos ya recopilados por el escaneo continuo a escala de internet de otra persona: consultarlo no envía nada al objetivo y es pasivo desde tu lado. Usa Shodan para reconocimiento e inventario rápidos y sin contacto; usa Nmap cuando tienes permiso y necesitas resultados actuales, precisos y verificados. Para saber cómo funciona el propio escaneo activo a gran escala, consulta nuestra comparativa Nmap vs Masscan.
¿Qué pueden hacer realmente los atacantes con Shodan?
Shodan le da al atacante el mismo reconocimiento pasivo que le da al defensor —un mapa de servicios, versiones y vulnerabilidades probables expuestos por internet—, y precisamente por eso los defensores deberían usarlo primero. No puede irrumpir en nada por sí solo; solo revela lo que ya es accesible. El riesgo realista es que hace trivial encontrar la fruta al alcance de la mano: software sin parchear con un CVE conocido, bases de datos dejadas abiertas sin autenticación o dispositivos con credenciales por defecto. La defensa es la misma lista que te protege de cualquiera: no expongas lo que no necesita estarlo, parchea para que tus banners no anuncien vulnerabilidades viejas, autentica todo y audita tu propia superficie de ataque en estos buscadores antes de que lo haga otro.