(CNN) – “Cuando la gente no encuentra algo en Google, se cree que nadie lo puede encontrar. Eso es falso”.
La apreciación corresponde a John Matherly, creador de Shodan, el buscador más terrorífico de Internet.
A diferencia de Google, que se concentra en la búsqueda de sitios web, Shodan es una especie de buscador “oscuro” que detecta servidores, cámaras web, impresoras, routers y todo aquello que se conecta y forma Internet.
Shodan opera permanentemente y obtiene información de unos 500 millones de dispositivos y servicios conectados cada mes. Y los resultados de las búsquedas son sorprendentes: desde semáforos hasta cámaras de seguridad, pasando por sistemas de calefacción y crematorios.
Los usuarios de Shodan también han encontrado sistemas de control para un parque acuático y una estación de servicio. Y los investigadores en seguridad informática han localizado sistemas de comando y de control de plantas nucleares y un acelerador de partículas utilizando Shodan.
Pero lo que llama la atención de Shodan, y lo que lo hace tan escalofriante, es que muy pocos de estos dispositivos tienen restricciones de seguridad para acceder a ellos.
“Puedes acceder a prácticamente la mitad de Internet con una contraseña predeterminada”, indicó HD Moore, jefe de seguridad de Rapid 7, que opera un servicio similar a Shodan para clientes. “Es una falla masiva de seguridad”, agregó. De esta forma, son incontables las impresoras, servidores y dispositivos que tienen “admin” o “1234” como contraseña. Y, de hecho, la mayoría de los sistemas conectados no solicitan ninguna credencial para controlarlos.
En una charla durante la conferencia de seguridad informática de Defcon, el experto Dan Tentler demostró cómo utilizaba Shodan para encontrar sistemas de control para aires acondicionados, calentadores de agua y puertas de garaje.
Encontró una pista de hockey que podía descongelarse con apenas un botón. El sistema de tránsito de una ciudad estaba conectado a Internet y podía manipularse ingresando un simple código. Y también halló un sistema de control para una planta hidroeléctrica en Francia con dos turbinas que generan tres megavatios cada una.
El problema, claro, radicaría en que todo esto caiga en las manos equivocadas.
“Los daños podrían ser muy serios”, dijo Tentler.
La buena noticia es que la finalidad de Shodan es otra.
Matherly, que completó Shodan hace tres años como parte de un proyecto personal, ha limitado las búsquedas a solo diez resultados para los usuarios no registrados y cincuenta para los inscriptos. Y si quieres ver todo lo que Shodan tiene para ofrecer, Matherly solicita el pago de una suscripción y más información acerca de tu objetivo.
Los principales usuarios de Shodan son expertos en seguridad, investigadores académicos y agencias gubernamentales. Los “malos” pueden utilizarlo como punto de partido, admite Matherly, pero los “cibercriminales” suelen tener acceso a botnets (grupos de computadoras infectadas) que logran el mismo propósito sin ser detectadas.
Hasta la fecha, la mayoría de los ataques informáticos se ha concentrado en robar dinero y propiedad intelectual, no en provocar daños explotando un edificio o desconectando los semáforos de una ciudad.
Por lo pronto, los profesionales de seguridad esperan evitar este escenario detectando estos dispositivos y servicios inseguros con Shodan y alertando de su vulnerabilidad a quienes los operen.
¿Confías en la buena voluntad de Shodan? Cuéntanos en los comentarios.