Shodan y Censys explicados.
Shodan y Censys son buscadores de dispositivos expuestos en internet: qué indexan, ejemplos reales de consultas, el límite legal, OPSEC y planes gratuitos.
Google indexa lo que la gente publica: páginas, enlaces, palabras en una pantalla. Shodan y Censys indexan lo que las máquinas exponen: los puertos abiertos, los servicios en ejecución, las versiones de software y los certificados TLS de los dispositivos conectados directamente a internet. Son buscadores de la capa de infraestructura: los routers, servidores, cámaras web, bases de datos, controladores industriales y máquinas de staging olvidadas que responden cuando algo llama a un puerto. Si haces OSINT o defiendes una superficie de ataque, estas dos son de las primeras herramientas que aprendes, y también el par que más confunde a los principiantes. Este artículo explica qué hacen en realidad, en qué se diferencian, cómo consultarlas con ejemplos reales y dónde está el límite legal y ético.
Buscadores que se conectan, no que rastrean
Un rastreador web como Googlebot sigue hipervínculos. Empieza en una página, lee los enlaces, los sigue y construye un índice de contenido legible para las personas. Nunca abre un puerto en crudo ni le pregunta a un servidor «¿qué estás ejecutando?»: simplemente solicita páginas web igual que lo haría un navegador.
Shodan y Censys funcionan al revés. Escanean de forma continua todo el espacio de direcciones IPv4 enrutable (y una porción creciente de IPv6), conectándose a los puertos habituales —21, 22, 23, 80, 443, 3389 y miles más— y registrando exactamente qué responde. No les importa si algún enlace apunta al dispositivo. Si tiene una IP pública y un servicio a la escucha, tarde o temprano aparece en el índice. Es la misma clase de actividad que un escaneo de puertos a escala de internet, pero hecho una vez, de forma centralizada y almacenado para que puedas consultar los resultados en lugar de escanear tú mismo.
La consecuencia práctica: puedes aprender una cantidad enorme sobre infraestructura expuesta a internet sin enviar jamás un solo paquete al objetivo. Desde tu lado, una búsqueda en Shodan o Censys es pasiva: estás leyendo una base de datos que otra persona ya recopiló.
Qué es un banner y por qué lo es todo
Cuando te conectas a un servicio, normalmente te saluda. Ese saludo —el tipo de servicio, el nombre del software, la versión, las opciones admitidas, a veces un nombre de host o un prompt de inicio de sesión— se llama banner. Capturar banners a escala de internet es el núcleo de lo que hacen estos buscadores. Así se ve un banner HTTP básico cuando lo obtienes a mano:
$ curl -sI http://example.org
HTTP/1.1 200 OK
Server: nginx/1.24.0 # software + versión exacta
Date: Wed, 15 Jul 2026 09:14:02 GMT
Content-Type: text/html
X-Powered-By: PHP/8.2.4 # aquí se filtra aún más detalle de versión
Un servicio SSH es igual de hablador antes incluso de que te autentiques:
$ nc example.org 22
SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13 # protocolo, producto, build, distro
Multiplica eso por cada puerto abierto de internet y tienes Shodan y Censys. Solo con un banner a menudo puedes saber el software exacto, su versión (y por tanto sus vulnerabilidades conocidas), el sistema operativo y, a veces, la organización propietaria.
Qué indexan
Ambos buscadores almacenan mucho más que un banner de texto en crudo. Un registro típico de un host contiene:
- Puertos y servicios abiertos. Qué puertos responden y qué protocolo habla cada uno (HTTP, SSH, RDP, MQTT, Modbus, etc.).
- Software y versiones. Extraídos de los banners —
nginx 1.24.0,OpenSSH 9.6,MongoDB 7.0—, que se asocian directamente a CVE. - Certificados TLS. Subject e issuer, common name (CN) y subject alternative names (SAN), fechas de validez y huellas. Los certificados son una mina de oro para pivotar entre hosts que comparten uno.
- Metadatos HTTP. Título de la página, cabeceras de respuesta e incluso un hash del favicon: una forma sorprendentemente fiable de identificar una aplicación concreta o un panel de administración.
- Geolocalización y titularidad de red. País y ciudad aproximados, además del ASN y la organización a la que pertenece la IP (mira cómo se relacionan nombres, IP y redes en dominios vs subdominios).
- Indicios de vulnerabilidad. Ambos etiquetan hosts con CVE probables según la versión que anuncian. Es una inferencia a partir de un banner, no una prueba de explotabilidad.
- Capturas de pantalla de servicios web, VNC y RDP expuestos (Shodan, en los planes de pago).
Shodan vs Censys: dos filosofías
Shodan (shodan.io)
Creado por John Matherly y público desde 2009, Shodan es el «buscador de dispositivos conectados a internet» original. Su carácter es centrado en dispositivos y protocolos. Brilla en los rincones raros y no web de internet: sistemas de control industrial (ICS/SCADA), IoT, VNC, RDP, bases de datos, impresoras, equipos marítimos y de automatización de edificios. Aporta datos históricos de banners muy profundos, una sintaxis de filtros amable de una sola línea, una API bien documentada, un cliente oficial de línea de comandos y productos añadidos como Shodan Maps, Images, Monitor y un índice de Exploits. Si tu pregunta es «¿qué cosa extraña hay expuesta en esta red?», Shodan suele llevarte allí primero.
Censys (censys.io)
Censys nació de la investigación académica en la Universidad de Michigan —el mismo grupo detrás del escáner rápido ZMap— y se hizo comercial en 2017. Su carácter es centrado en los datos y los certificados. Realiza escaneos completos de internet con frecuencia, mantiene un esquema de host rigurosamente estructurado y trata los certificados TLS como un conjunto de datos de primer nivel, alimentado tanto por sus propios escaneos como por los registros de Certificate Transparency. El lenguaje de consulta es más verboso pero más preciso: filtras sobre campos anidados explícitos en lugar de palabras clave cortas. Los analistas que quieren datos limpios, estructurados y con mucho certificado para la gestión de la superficie de ataque suelen preferir Censys.
Ninguno es estrictamente «mejor». Shodan es más rápido de ojear y más fuerte en protocolos raros e histórico; Censys es más fuerte en consultas estructuradas, certificados y cobertura fresca de escaneo completo. Los investigadores serios usan ambos y los contrastan.
Consultas de Shodan que usarás de verdad
Los filtros de Shodan son pares key:value; las palabras sueltas son coincidencias de texto completo en el banner. Ten en cuenta que Shodan usa códigos de país de dos letras (ES, no «Spain»). Estos ejemplos están planteados para inventariar infraestructura que posees o que estás autorizado a evaluar:
product:"Apache httpd" country:"ES" port:443 # Apache en el 443, alojado en España
http.title:"Login" # páginas cuyo <title> contiene "Login"
org:"Your Company Ltd" # todo lo que Shodan asocia a esa org
net:203.0.113.0/24 # un bloque CIDR concreto que posees
ssl.cert.subject.cn:"example.com" # hosts que sirven un cert con ese CN
hostname:example.com # banners ligados a ese nombre de host
http.favicon.hash:-1234567890 # todos los hosts que comparten un favicon
vuln:CVE-2021-44228 # hosts marcados por un CVE (filtro de pago)
Combina filtros con espacios (AND implícito) y antepón - para negar. Antes de lanzar una búsqueda completa, count es tu amigo: devuelve solo el número de coincidencias y es barato:
$ shodan init YOUR_API_KEY
$ shodan count 'port:443 country:ES'
1893472
$ shodan host 8.8.8.8 # todo lo conocido sobre una IP
$ shodan search --fields ip_str,port,org 'ssl.cert.subject.cn:"example.com"'
Consultas de Censys
Censys Search usa un lenguaje estructurado con rutas de campo explícitas unidas por and / or. Acepta nombres de país y los campos se leen casi como documentación:
services.service_name: HTTP and location.country: "Spain"
services.port: 443 and services.tls.certificates.leaf_data.subject.common_name: "example.com"
autonomous_system.organization: "Your Company Ltd"
services.software.product: "nginx" and location.country_code: ES
dns.names: example.com and services.service_name: HTTPS
La verbosidad es lo que se busca: como cada atributo vive en una ruta conocida, una consulta de Censys es inequívoca y fácil de programar contra la API. La misma idea de pivotar por certificado que en el ssl.cert.subject.cn de Shodan se convierte en el explícito services.tls.certificates.leaf_data.subject.common_name.
La línea de comandos: shodan y nrich
No necesitas la web. La CLI oficial de shodan en Python cubre búsqueda, recuento, consultas de hosts y streaming. Para un triaje rápido de una lista de IP, Shodan también incluye nrich, que consulta el servicio gratuito InternetDB (sin clave de pago) e imprime los puertos abiertos y los CVE conocidos por IP:
$ cat my-ips.txt
203.0.113.10
203.0.113.42
$ nrich my-ips.txt
203.0.113.10 (host.example.com)
Ports: 22, 80, 443
CVEs: CVE-2023-38408
203.0.113.42
Ports: 3389
CVEs: None found
Ese único comando convierte una lista de IP en crudo en un primer informe de exposición: ideal para auditar tus propios rangos.
Usos legítimos y el límite legal
Son herramientas convencionales y defendibles cuando se usan para lo correcto:
- Conoce tu propia superficie de ataque. Busca tus bloques CIDR, el nombre de tu organización y el CN de tus certificados para encontrar shadow IT, servidores de staging olvidados, bases de datos expuestas e interfaces de gestión que nunca pretendiste publicar.
- Inteligencia de amenazas. Identifica y rastrea infraestructura del adversario, paneles de C2 y kits de phishing por certificado, hash de favicon o firma de banner.
- Investigación y medición. Estudia cómo se propaga una vulnerabilidad o con qué rapidez parchea internet tras una divulgación.
- Investigaciones. Enriquece una IP o un dominio durante una indagación: esto encaja de forma natural con investigar un dominio sospechoso y leer WHOIS.
Ahora el límite, dicho sin rodeos. Consultar Shodan o Censys es OSINT pasivo: estás leyendo un conjunto de datos, no tocando el objetivo, y mirar un banner que alguien decidió exponer no es delito. Pero los resultados son direcciones de sistemas reales, y lo que hagas a continuación es donde vive la ley. En el momento en que te conectas a un dispositivo descubierto que no es tuyo, pruebas una credencial por defecto o filtrada, envías entrada para sondear fallos o ejecutas un exploit, has abandonado el OSINT y casi con seguridad has infringido la legislación sobre abuso informático: la Computer Fraud and Abuse Act de EE. UU., la Computer Misuse Act del Reino Unido y sus equivalentes en otros lugares. «Estaba abierto en Shodan» nunca ha sido una defensa. Observa, no interactúes; documenta, no explotes; y actúa solo contra sistemas que posees o para los que tienes autorización explícita y por escrito para probar.
OPSEC y los límites de los planes gratuitos
Como consultas los buscadores en lugar del objetivo, tus búsquedas no aparecen en los registros del objetivo, pero el proveedor del buscador sí te registra a ti. Úsalo en consecuencia y ten presentes los topes de los planes gratuitos:
- Shodan. Se exige una cuenta gratuita incluso para usar filtros, y limita cuánto ves. Históricamente Shodan vende una membresía vitalicia de pago único (a menudo con descuento) que desbloquea más filtros, resultados y créditos de consulta de API; algunos filtros (como
vuln:) y las capturas de pantalla requieren planes superiores. Vigila tus créditos de consulta de la API:countgasta muchos menos que unsearchcompleto. - Censys. Un plan comunitario gratuito da un número limitado de consultas al mes y una paginación de resultados superficial, con la exportación masiva y los conjuntos de datos más ricos reservados a los planes de pago.
- OPSEC general. Investiga desde una cuenta dedicada y, para trabajo sensible, un perfil de navegador o una VM aparte tras una VPN. Nunca conviertas un resultado de búsqueda en una conexión no autorizada. Si de verdad necesitas verificar activamente un host, hazlo solo dentro de un alcance firmado, y recuerda que el escaneo activo tiene una postura legal distinta a la de consultar un índice.
Alternativas que conviene conocer
- ZoomEye: un buscador de dispositivos y aplicaciones web de Knownsec, históricamente fuerte en activos de Asia, con una sintaxis de dorks tipo Shodan (
app:/country:) y un plan gratuito basado en créditos. - FOFA: un buscador chino de activos de internet conocido por sus potentes consultas de fingerprint sobre los campos
title=,body=,cert=ydomain=; excelente para cazar infraestructura clonada. - Netlas: datos de escaneo de internet consultables (hosts, certificados, DNS, WHOIS) con un DSL de consulta estilo Elasticsearch y una cuota diaria gratuita relativamente generosa.
- GreyNoise: el diferente, y el complemento perfecto. En lugar de catalogar dispositivos expuestos, caracteriza a los escáneres. Cuando una IP golpea tu firewall, GreyNoise te dice si es «ruido de fondo» de internet que machaca a todo el mundo o algo que de verdad te está apuntando a ti, y su conjunto de datos RIOT marca servicios comunes benignos: una reducción enorme de falsos positivos durante el triaje.
- Shodan Exploits y Exploit-DB: una vez que tienes una versión a partir de un banner, estos la asocian a exploits y PoC conocidos. Úsalos para entender y priorizar el riesgo en tus propios sistemas, nunca para atacar a otros.
Los buscadores, cara a cara
| Buscador | ¿Plan gratuito? | Fuerte en | Estilo de consulta |
|---|---|---|---|
| Shodan | Sí (limitado); membresía de pago único habitual | IoT, ICS/SCADA, protocolos raros, histórico, exploits | Filtros cortos key:value, p. ej. port:443 org:"..." |
| Censys | Sí (consultas mensuales limitadas) | Certificados, datos de host estructurados, escaneos completos frescos | Rutas de campo explícitas, p. ej. services.port: 443 and ... |
| ZoomEye | Sí (basado en créditos) | Aplicaciones web y activos, buena cobertura de Asia | Dorks, p. ej. app:"nginx" country:"CN" |
| Netlas | Sí (cuota diaria) | Certificados, DNS/WHOIS, respuestas en un solo sitio | DSL estilo Elasticsearch, p. ej. http.title:"Login" |
Herramientas y recursos
- Shodan y su referencia de filtros de búsqueda: la lista canónica de todos los filtros.
- Documentación de la CLI de Shodan y nrich: búsqueda por línea de comandos y la herramienta gratuita de triaje InternetDB.
- Censys Search y su referencia de sintaxis de consulta: el esquema completo de campos.
- crt.sh: búsqueda en Certificate Transparency que encaja a la perfección con el pivote por certificado en cualquiera de los dos buscadores.
- GreyNoise: separa amenazas reales del ruido de escaneo masivo al triar una IP.
La mentalidad que lo une todo es sencilla. Shodan y Censys no hackean nada; ponen un espejo frente a internet y te dejan leer lo que ya está expuesto. Eso los hace indispensables para los defensores que auditan su propia superficie y para los investigadores que cartografían la más amplia, y pone todo el peso ético en el paso posterior a la búsqueda. Encuentra, entiende y corrige lo que es tuyo. Nunca toques lo que no lo es.
