La firma es la ausencia
3.399 sesiones hicieron algo muy concreto: autenticarse y colgar. Ni un ls, ni un wget, ni una sola línea. Es el 2,4% del tráfico — una minoría, pero con una intención nítida. A diferencia de una intrusión, que deja rastro (comandos, descargas, ficheros), el sondeo deja justo lo contrario: una autenticación correcta seguida de nada.
Esa quietud es la señal. En tus registros no parece un ataque: parece un usuario que entró y se fue. Por eso pasa desapercibido, y por eso conviene cazarlo antes de que la credencial validada se use de verdad.
Qué credenciales prueban: la pista es cripto
Aquí está lo interesante. Mirando TODO el tráfico del honeypot (no solo los sondeos silenciosos), los pares usuario/contraseña más probados no son genéricos: apuntan a infraestructura de Solana.
solana / solana (2.930) · sol / sol (2.879) · solv / 123456 (2.322) · ubuntu / ubuntu (2.210) · sol / 123 (2.045)
Cuatro de los cinco pares más probados son cuentas de servicio de la red Solana (sol, solana, solv): validadores y nodos. No es fuerza bruta genérica; es una campaña que busca, por nombre, máquinas de cripto.
El resto del ruido: caza de GPU
Las sesiones que sí ejecutan comandos cuentan la otra mitad de la historia: los tres comandos más usados son uname (49,4%), lspci (20,2%) y nvidia-smi (12,4%). Es reconocimiento de hardware — el atacante mira si la máquina tiene GPU antes de decidir qué hacer con ella. El sondeo silencioso y la caza de GPU podrían ser dos caras de la misma operación: validar accesos y catalogar objetivos de cripto.
¿Validar hoy para usar mañana? Una hipótesis honesta
La explicación habitual del sondeo es la validación de credenciales para uso diferido: un nodo confirma qué pares funcionan y otro, más tarde y desde otra IP, los explota. Separar ambas tareas dificulta la correlación y mantiene el sondeo "inocuo".
Con honestidad: lo presentamos como hipótesis coherente con tácticas conocidas de botnet. Estamos incorporando una métrica propia para medir cuántas de las IPs que sondean regresan luego a ejecutar comandos; hasta tenerla consolidada, no afirmamos la cadena completa como hecho.
Cómo cazarlo
Cazar un sondeo es más fácil que cazar una intrusión, precisamente porque su firma es la inactividad:
- Alerta sobre sesiones sin comandos: una conexión SSH que autentica y se desconecta en segundos sin ejecutar nada es un sondeo. Cualquier SIEM lo detecta con una regla simple.
- Vigila tus cuentas de servicio por nombre: si operas infraestructura cripto, los usuarios tipo
sol/solana/solvson objetivo explícito; renómbralos y desactiva el acceso por contraseña. - Desactiva el login por contraseña: contra un sondeo que solo prueba pares usuario/contraseña, las claves SSH lo dejan sin nada que validar.
Míralo en tu propio panel
Esto no es teoría abstracta: es lo que verías en el panel de CipherSentry con tus propios nodos — cada sondeo, cada credencial probada y cada origen, en tiempo real.
Lo que tus logs no te están diciendo
Lo más incómodo de este patrón es que no se parece a un ataque. No verás una "intrusión": verás una "autenticación correcta". Si esa credencial se valida hoy, el día que alguien la use entrará con aspecto legítimo. Caza el sondeo —la sesión que entra y se va sin hacer nada— en lugar de esperar a la fase ruidosa: para entonces, ya no parecerá un ataque.
Datos recopilados con fines de investigación en ciberseguridad. Cifras tomadas de los KPIs del honeypot SSH de CipherSentry en producción (ventana 2026-06-11 a 2026-06-19). Toda la información procede de actividad no solicitada registrada en infraestructura propia.