143.337
Sesiones SSH (8 días)
3.399
Sondeos silenciosos
2,4%
De todas las sesiones
800
IPs atacantes únicas

La firma es la ausencia

3.399 sesiones hicieron algo muy concreto: autenticarse y colgar. Ni un ls, ni un wget, ni una sola línea. Es el 2,4% del tráfico — una minoría, pero con una intención nítida. A diferencia de una intrusión, que deja rastro (comandos, descargas, ficheros), el sondeo deja justo lo contrario: una autenticación correcta seguida de nada.

Esa quietud es la señal. En tus registros no parece un ataque: parece un usuario que entró y se fue. Por eso pasa desapercibido, y por eso conviene cazarlo antes de que la credencial validada se use de verdad.

Qué credenciales prueban: la pista es cripto

Aquí está lo interesante. Mirando TODO el tráfico del honeypot (no solo los sondeos silenciosos), los pares usuario/contraseña más probados no son genéricos: apuntan a infraestructura de Solana.

Pares usuario / contraseña más probados (todo el honeypot)

solana / solana (2.930) · sol / sol (2.879) · solv / 123456 (2.322) · ubuntu / ubuntu (2.210) · sol / 123 (2.045)

Cuatro de los cinco pares más probados son cuentas de servicio de la red Solana (sol, solana, solv): validadores y nodos. No es fuerza bruta genérica; es una campaña que busca, por nombre, máquinas de cripto.

El resto del ruido: caza de GPU

Las sesiones que ejecutan comandos cuentan la otra mitad de la historia: los tres comandos más usados son uname (49,4%), lspci (20,2%) y nvidia-smi (12,4%). Es reconocimiento de hardware — el atacante mira si la máquina tiene GPU antes de decidir qué hacer con ella. El sondeo silencioso y la caza de GPU podrían ser dos caras de la misma operación: validar accesos y catalogar objetivos de cripto.

¿Validar hoy para usar mañana? Una hipótesis honesta

Lo que la teoría dice

La explicación habitual del sondeo es la validación de credenciales para uso diferido: un nodo confirma qué pares funcionan y otro, más tarde y desde otra IP, los explota. Separar ambas tareas dificulta la correlación y mantiene el sondeo "inocuo".

Con honestidad: lo presentamos como hipótesis coherente con tácticas conocidas de botnet. Estamos incorporando una métrica propia para medir cuántas de las IPs que sondean regresan luego a ejecutar comandos; hasta tenerla consolidada, no afirmamos la cadena completa como hecho.

Cómo cazarlo

Cazar un sondeo es más fácil que cazar una intrusión, precisamente porque su firma es la inactividad:

Míralo en tu propio panel

Esto no es teoría abstracta: es lo que verías en el panel de CipherSentry con tus propios nodos — cada sondeo, cada credencial probada y cada origen, en tiempo real.

CipherSentry · Inteligencia de amenazas ● en vivo 143.337SESIONES SSH 3.399SONDEOS SILENCIOSOS · 2,4% 800IPS ATACANTES Credenciales más probadas campaña Solana solana / solana2.930 sol / sol 2.879 solv / 123456 2.322 ubuntu / ubuntu2.210 sol / 123 2.045
Vista ilustrativa del panel de CipherSentry · cifras reales del honeypot (instantánea 2026-06-19 18:54 UTC).
¿Quieres ver esto con tus propios servidores?
Despliega un sensor open source en 2 minutos y empieza a capturar tus propios ataques.
Ver el producto →

Lo que tus logs no te están diciendo

Lo más incómodo de este patrón es que no se parece a un ataque. No verás una "intrusión": verás una "autenticación correcta". Si esa credencial se valida hoy, el día que alguien la use entrará con aspecto legítimo. Caza el sondeo —la sesión que entra y se va sin hacer nada— en lugar de esperar a la fase ruidosa: para entonces, ya no parecerá un ataque.

Datos recopilados con fines de investigación en ciberseguridad. Cifras tomadas de los KPIs del honeypot SSH de CipherSentry en producción (ventana 2026-06-11 a 2026-06-19). Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos
KPIs del honeypot SSH de CipherSentry · ventana 2026-06-11 a 2026-06-19
← Todos los artículos