Metodología
Todos los datos provienen directamente del fichero honeypot.log generado por nuestro honeypot SSH. Cada evento de tipo connection registra el username y password presentados por el cliente atacante. No se ha añadido ni modificado ningún dato.
Top usernames: el ecosistema Solana domina
El hallazgo más relevante de este dataset es el desplazamiento del perfil de ataque tradicional. Las cuentas genéricas (root, admin) siguen presentes, pero la mayoría de los intentos apuntan a nomenclatura específica de nodos Solana.
| # | Username | Intentos | % del total | Tipo |
|---|---|---|---|---|
| 1 | root | 4.447 | 16,9% | Genérico |
| 2 | sol | 3.530 | 13,4% | Solana |
| 3 | solana | 2.995 | 11,4% | Solana |
| 4 | ubuntu | 1.654 | 6,3% | SO base |
| 5 | solv | 1.538 | 5,8% | Solana (Solv Protocol) |
| 6 | trader | 633 | 2,4% | DeFi / crypto |
| 7 | user | 356 | 1,4% | Genérico |
| 8 | admin | 324 | 1,2% | Genérico |
| 9 | firedancer | 287 | 1,1% | Solana (cliente validador) |
| 10 | validator | 275 | 1,0% | Solana (rol de nodo) |
Los términos relacionados con el ecosistema Solana suman más de 9.000 intentos — el 35% del total de credenciales capturadas. Esto confirma que la campaña está orientada específicamente a infraestructura de nodos blockchain.
Top contraseñas: combinaciones numéricas + términos crypto
Las contraseñas siguen un patrón dual: las posiciones 1–6 son combinaciones numéricas triviales (contraseñas débiles por defecto o configuración inicial sin cambiar), mientras que las posiciones 7–10 son términos específicos del ecosistema objetivo.
| # | Password | Intentos | Categoría |
|---|---|---|---|
| 1 | 123456 | 1.711 | Numérica básica |
| 2 | 123 | 1.036 | Numérica básica |
| 3 | 12345678 | 977 | Numérica básica |
| 4 | solana | 927 | Crypto |
| 5 | sol | 844 | Crypto |
| 6 | 1234 | 756 | Numérica básica |
| 7 | node | 557 | Infraestructura |
| 8 | firedancer | 502 | Crypto / Solana |
| 9 | solv | 433 | Crypto |
| 10 | ubuntu | 417 | SO base |
| 11 | trader | 346 | DeFi |
| 12 | 1234567890 | 303 | Numérica básica |
| 13 | validator | 300 | Crypto / Solana |
| 14 | 1 | 284 | Numérica básica |
| 15 | ethereum | 275 | Crypto |
Implicaciones para defensores
Si operas infraestructura relacionada con blockchain — nodos de staking, servidores de trading, herramientas DeFi — los atacantes tienen tu nomenclatura en el diccionario. Algunas recomendaciones directas:
- Deshabilita la autenticación por contraseña en SSH. Usa solo claves. Si un atacante prueba 26.000 contraseñas y tu servidor no las acepta, la campaña es inofensiva.
- Cambia el puerto SSH. No es seguridad real, pero filtra el 90% del ruido automatizado que solo escanea el 22.
- Monitoriza intentos fallidos. Un honeypot interno en una subred de administración detecta movimiento lateral antes de que llegue a sistemas reales.
- No uses como contraseña el nombre del servicio que proteges.
firedancer,solana,validatorestán en todos los diccionarios de 2026.
Datos recopilados con fines de investigación en ciberseguridad. Toda la información procede de actividad no solicitada registrada en infraestructura propia.
honeypot CipherSentry · 2026-06-11 a 2026-06-13 · 26.345 credenciales