90.596
Sesiones SSH totales
431
IPs atacantes
21
Intentos passwd

El comando que delata la intención

Hay comandos que cambian de significado dependiendo de quién los ejecuta. passwd en manos de un administrador es rutina. En manos de un atacante recién autenticado, es una declaración: no vine a robar datos, vine a quedarme. La diferencia entre reconocimiento y persistencia cabe en tres comandos.

# Secuencia típica de sesión con intento passwd
$uname -a
$id
$passwd

El uname y el id son reconocimiento de último segundo — confirmar que el servidor es Linux y que se tiene acceso root. Luego, directamente, passwd. Sin exploración, sin descargas, sin comandos de exfiltración. El guion es corto porque el objetivo es simple.

Por qué es más peligroso que instalar malware

El detalle técnico que lo hace difícil de detectar: passwd no escribe ningún fichero en rutas inusuales, no abre puertos de red, no crea procesos nuevos. Los escáneres de malware buscan artefactos — binarios sospechosos, entradas en crontab, servicios instalados. Un cambio de contraseña no deja ninguno de esos rastros.

Lo que el honeypot vio — y el atacante no

Resultado en el honeypot

El honeypot acepta el passwd con normalidad: muestra el prompt de cambio, el atacante introduce la nueva contraseña, recibe confirmación. Todo parece funcionar.

El cambio queda registrado — pero no persiste en el sistema real. El honeypot devuelve confirmación al atacante; en la siguiente sesión, las credenciales originales siguen siendo válidas. La firma queda en el log, no en el sistema.

Detección

Las señales son claras. El problema es que requieren logging activo — la mayoría de servidores no alertan sobre ejecuciones de passwd por defecto.

La única defensa que cubre todas las variantes — passwd, chpasswd, usermod -p — es monitorizar el fichero directamente. Dos líneas de auditd en Debian/Ubuntu:

# Añadir a /etc/audit/rules.d/passwd.rules
-w /etc/shadow -p wa -k passwd_change
-w /etc/passwd -p wa -k passwd_change
# Aplicar sin reiniciar:
$augenrules --load
# Buscar el evento en el log:
$ausearch -k passwd_change -i | tail -20

Esta regla registra cualquier modificación del fichero de contraseñas independientemente del método empleado. No importa si el atacante usó passwd interactivo, chpasswd desde script, o usermod: si tocó /etc/shadow, auditd lo vio.

El comando passwd no deja binarios. No abre puertos. No instala servicios. Lo que deja es silencio — y el silencio, en ciberseguridad, es la señal más difícil de detectar. La diferencia entre un sistema comprometido y uno limpio cabe en un campo de /etc/shadow. Ese campo no tiene alarma por defecto. Ahora puede tenerla.

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Sobre el autor
Pablo Cortés
Head of Research · CipherSentry. Analiza patrones de ataque reales capturados por el honeypot SSH. Especializado en campañas coordinadas, TTPs de persistencia y clasificación de malware.
Fuente de datos
honeypot CipherSentry · 2026-06-26 a 2026-06-28
← Todos los artículos