26.345
Credenciales capturadas
53
IPs atacantes
3 días
Periodo de captura

Metodología

Todos los datos provienen directamente del fichero honeypot.log generado por nuestro honeypot SSH. Cada evento de tipo connection registra el username y password presentados por el cliente atacante. No se ha añadido ni modificado ningún dato.

Nota de privacidad: Las credenciales publicadas son las que los atacantes intentaron usar contra nuestro honeypot. No son contraseñas de usuarios reales. Se publican como inteligencia de amenazas para ayudar a los equipos de seguridad a reforzar sus políticas de contraseñas.

Top usernames: el ecosistema Solana domina

El hallazgo más relevante de este dataset es el desplazamiento del perfil de ataque tradicional. Las cuentas genéricas (root, admin) siguen presentes, pero la mayoría de los intentos apuntan a nomenclatura específica de nodos Solana.

#UsernameIntentos% del totalTipo
1root4.44716,9%Genérico
2sol3.53013,4%Solana
3solana2.99511,4%Solana
4ubuntu1.6546,3%SO base
5solv1.5385,8%Solana (Solv Protocol)
6trader6332,4%DeFi / crypto
7user3561,4%Genérico
8admin3241,2%Genérico
9firedancer2871,1%Solana (cliente validador)
10validator2751,0%Solana (rol de nodo)

Los términos relacionados con el ecosistema Solana suman más de 9.000 intentos — el 35% del total de credenciales capturadas. Esto confirma que la campaña está orientada específicamente a infraestructura de nodos blockchain.

Top contraseñas: combinaciones numéricas + términos crypto

Las contraseñas siguen un patrón dual: las posiciones 1–6 son combinaciones numéricas triviales (contraseñas débiles por defecto o configuración inicial sin cambiar), mientras que las posiciones 7–10 son términos específicos del ecosistema objetivo.

#PasswordIntentosCategoría
11234561.711Numérica básica
21231.036Numérica básica
312345678977Numérica básica
4solana927Crypto
5sol844Crypto
61234756Numérica básica
7node557Infraestructura
8firedancer502Crypto / Solana
9solv433Crypto
10ubuntu417SO base
11trader346DeFi
121234567890303Numérica básica
13validator300Crypto / Solana
141284Numérica básica
15ethereum275Crypto

Implicaciones para defensores

Si operas infraestructura relacionada con blockchain — nodos de staking, servidores de trading, herramientas DeFi — los atacantes tienen tu nomenclatura en el diccionario. Algunas recomendaciones directas:

Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.

Fuente de datos
honeypot CipherSentry · 2026-06-11 a 2026-06-13 · 26.345 credenciales
← Todos los artículos