Enquanto o Google indexa páginas da web, o Shodan indexa tudo que está conectado à internet — servidores, câmeras de segurança, roteadores, sistemas industriais, impressoras de rede, smart TVs e até babás eletrônicas. Saber como usar o Shodan é uma competência que separa investigadores digitais amadores de profissionais, e a quantidade de informação que essa ferramenta revela sobre a infraestrutura exposta na internet é, ao mesmo tempo, fascinante e preocupante.
Criado em 2009 por John Matherly, o Shodan (acrônimo de Sentient Hyper-Optimized Data Access Network, referência ao jogo System Shock) tornou-se a ferramenta de referência para reconnaissance de infraestrutura digital. Diferente de um buscador tradicional que analisa o conteúdo de páginas HTML, o Shodan faz varreduras em toda a faixa de endereços IPv4, conectando-se a portas de serviço abertas e registrando os banners — as respostas que servidores e dispositivos enviam ao receber uma conexão. O resultado é um banco de dados massivo e continuamente atualizado de praticamente tudo que está exposto na internet.
Neste artigo, vamos explorar como usar o Shodan na prática: desde buscas básicas até filtros avançados, passando por cenários reais de investigação, avaliação de segurança e os limites éticos e legais que todo profissional precisa respeitar.
Primeiros Passos: Criando Conta e Entendendo a Interface
O Shodan é acessível via interface web (shodan.io), via API e via linha de comando, e cada forma de acesso serve a propósitos diferentes. Para quem está começando, a interface web oferece o caminho mais intuitivo para entender o que a ferramenta pode fazer antes de mergulhar em automações mais avançadas.
A conta gratuita do Shodan permite buscas básicas com até 2 páginas de resultados e uma quantidade limitada de consultas via API. Para uso profissional, a licença Membership (US$ 49 como pagamento único, não recorrente) desbloqueia filtros avançados, mais resultados por busca e acesso expandido à API. Para investigadores e equipes de segurança que usam a ferramenta intensivamente, os planos Corporate oferecem monitoramento contínuo, alertas e volumes maiores de API. O investimento inicial da Membership é modesto e se paga rapidamente em produtividade.
Ao fazer a primeira busca no Shodan, o que você vê nos resultados é fundamentalmente diferente do Google. Cada resultado é um dispositivo ou serviço, não uma página web. A listagem mostra o endereço IP, o país e cidade estimados, a organização (ISP ou empresa), a porta aberta e o banner capturado — que pode conter informações como versão do software, tipo de serviço, certificados SSL e até mensagens de login. Um único resultado pode revelar que determinado servidor roda Apache 2.4.51 na porta 443, com certificado SSL emitido para empresa X, localizado no datacenter Y em São Paulo.
A barra de busca aceita tanto termos livres quanto filtros estruturados. Uma busca por "apache" retorna todos os dispositivos cujos banners contêm a palavra "apache". Já uma busca por apache country:BR port:80 restringe a dispositivos no Brasil respondendo na porta HTTP padrão. Entender os filtros é o que transforma o Shodan de uma curiosidade em uma ferramenta profissional de investigação — e os filtros disponíveis são extensos e poderosos.
Filtros Avançados: A Linguagem de Busca do Shodan
Os filtros do Shodan são a chave para extrair informação relevante de um universo de bilhões de dispositivos. Sem filtros, as buscas retornam volumes ingerenciáveis de resultados. Com os filtros certos, é possível encontrar dispositivos específicos com precisão cirúrgica — e é aqui que a ferramenta se torna realmente valiosa para investigação.
O filtro country restringe por código de país (BR para Brasil, US para Estados Unidos, etc.). O filtro city vai mais granular, especificando a cidade. O filtro org busca por organização — particularmente útil para investigações corporativas. Uma busca como org:"Banco do Brasil" port:443 revela todos os serviços HTTPS expostos que o Shodan associa à infraestrutura do Banco do Brasil. Combinado com análise de certificados SSL e banners de aplicação, isso permite mapear a superfície de ataque pública de uma organização de forma não intrusiva.
O filtro port especifica a porta de serviço. Portas comuns como 80 (HTTP), 443 (HTTPS), 22 (SSH), 3389 (RDP), 21 (FTP) e 3306 (MySQL) são frequentemente os primeiros alvos de busca. Mas o Shodan indexa muito mais: portas de SCADA/ICS como 502 (Modbus), 102 (S7comm) e 44818 (EtherNet/IP) revelam sistemas de controle industrial expostos. Portas como 5900 (VNC), 5060 (SIP) e 9100 (impressoras) podem revelar dispositivos que nunca deveriam estar acessíveis pela internet.
O filtro vuln busca por vulnerabilidades CVE conhecidas — e é um dos mais poderosos para avaliação de segurança. Uma busca como vuln:CVE-2021-44228 country:BR encontra sistemas brasileiros potencialmente vulneráveis ao Log4Shell. O filtro has_screenshot:true retorna dispositivos que o Shodan conseguiu capturar uma screenshot (VNC, RDP e interfaces web), oferecendo uma preview visual do que está exposto. Para investigadores que trabalham com ferramentas OSINT, esses filtros são complementares a outras técnicas de reconnaissance.
O filtro ssl.cert.subject.cn busca por domínios em certificados SSL — útil para descobrir infraestrutura que usa certificados associados a um domínio específico. O http.title filtra por título de páginas web. O product busca por tipo de software (como product:nginx ou product:openssh). A combinação criativa desses filtros é o que diferencia uma busca genérica de uma investigação direcionada e eficiente.
Shodan Para Investigação Digital: Cenários Práticos
O valor do Shodan na investigação digital vai muito além da simples curiosidade sobre "o que está exposto na internet". Em cenários reais, a ferramenta resolve problemas concretos de investigação que seriam extremamente difíceis ou impossíveis de abordar por outros meios.
Na investigação de infraestrutura de ataque, o Shodan permite analisar servidores C2 (Command & Control) identificados durante a resposta a incidentes. Quando um analista identifica o IP de um servidor C2 nos logs ou na análise de malware, uma consulta ao Shodan revela os serviços expostos naquele servidor, o histórico de banners (quais serviços estiveram ativos ao longo do tempo), o certificado SSL utilizado e a organização de hospedagem. Cruzar essas informações com dados de investigação de crimes cibernéticos pode revelar conexões entre campanhas aparentemente independentes que compartilham infraestrutura.
Para assessments de segurança, o Shodan funciona como uma auditoria externa automatizada. Buscar org:"Nome da Empresa" revela toda a superfície de ataque pública da organização: servidores web, servidores de e-mail, VPNs, painéis de administração, bancos de dados e qualquer outro serviço acessível pela internet. Muitas empresas ficam surpresas ao descobrir dispositivos que pensavam estar apenas na rede interna — como impressoras com interface web, câmeras de segurança IP e switches gerenciáveis — acessíveis publicamente. Esse tipo de descoberta é frequentemente o primeiro passo para corrigir vulnerabilidades antes que atacantes as explorem.
A investigação de dispositivos IoT vulneráveis é outro cenário de alto impacto. Câmeras de segurança com senhas padrão, roteadores com firmware desatualizado e dispositivos industriais sem autenticação são encontrados em volumes alarmantes no Shodan. Uma busca como "default password" country:BR ou "Authentication: disabled" port:554 (câmeras RTSP) revela a extensão do problema. Para profissionais de segurança que atuam em perícia e investigação corporativa, identificar esses dispositivos é frequentemente parte de assessments de segurança física e digital.
Shodan Monitor e Alertas: Vigilância Contínua
A consulta pontual ao Shodan é útil, mas a vigilância contínua é o que transforma a ferramenta de um instrumento de investigação em uma camada de defesa proativa. O Shodan Monitor permite configurar alertas automáticos que notificam quando novos serviços são detectados em IPs ou redes que você monitora — ideal para organizações que precisam acompanhar sua superfície de ataque em tempo real.
O funcionamento é direto: você define os IPs, blocos CIDR ou domínios que deseja monitorar, e o Shodan envia alertas por e-mail ou webhook quando detecta mudanças — novas portas abertas, novos serviços expostos, alterações em banners existentes ou vulnerabilidades identificadas. Para equipes de segurança, isso significa ser notificado automaticamente quando um desenvolvedor publica acidentalmente um banco de dados na internet, quando um dispositivo de rede é configurado incorretamente, ou quando um serviço vulnerável aparece na infraestrutura.
A API do Shodan expande essas capacidades para automação avançada. Scripts em Python usando a biblioteca shodan podem realizar buscas programáticas, processar resultados em massa e integrar dados do Shodan com outras fontes de inteligência. Um script que monitora certificados SSL expirando, por exemplo, pode alertar a equipe antes que navegadores comecem a bloquear o acesso ao site. Outro que verifica periodicamente se serviços não autorizados aparecem em IPs corporativos complementa ferramentas tradicionais de gerenciamento de vulnerabilidades.
O Shodan também oferece feeds de dados em tempo real (via Firehose) para organizações que precisam de volumes massivos de dados para pesquisa ou detecção de ameaças. Empresas de threat intelligence e CERTs utilizam esses feeds para monitorar tendências globais, detectar campanhas de ataque em larga escala e identificar infraestrutura maliciosa emergente. Para complementar com inteligência visual, ferramentas de OSINT como o Maltego podem ingerir dados do Shodan via transforms e criar grafos de relacionamento entre dispositivos, redes e organizações.
Shodan vs. Alternativas: Censys, ZoomEye e Outros
O Shodan é a ferramenta mais conhecida para reconnaissance de infraestrutura, mas não é a única. Entender as alternativas e suas diferenças permite ao investigador escolher a ferramenta certa para cada cenário — ou combinar múltiplas fontes para uma visão mais completa.
O Censys é o principal concorrente do Shodan, desenvolvido por pesquisadores da Universidade de Michigan. Ele se diferencia por um foco mais forte em certificados SSL/TLS e pela capacidade de buscar não apenas por banners, mas também pelo conteúdo completo de certificados digitais. Para investigações que envolvem análise de infraestrutura PKI, descoberta de subdomínios via certificados e mapeamento de relacionamentos entre organizações por certificados compartilhados, o Censys frequentemente oferece resultados superiores ao Shodan. A versão gratuita é generosa e suficiente para a maioria das investigações individuais.
O ZoomEye, desenvolvido pela empresa chinesa Knownsec, oferece cobertura particularmente forte da região Ásia-Pacífico. Seu motor de busca indexa dispositivos de forma similar ao Shodan, mas com uma interface em inglês e chinês e filtros otimizados para infraestrutura asiática. Para investigações que envolvem infraestrutura de ataque localizada na China ou no Sudeste Asiático, o ZoomEye pode retornar resultados que o Shodan não possui.
O FOFA (Cyberspace Search Engine), do laboratório chinês Baimaohui, e o Hunter.io (focado em endereços de e-mail corporativos) são ferramentas complementares que, combinadas com Shodan, oferecem uma visão abrangente da presença digital de uma organização. As ferramentas OSINT gratuitas disponíveis em 2026 incluem essas e outras opções que expandem o arsenal do investigador.
Na prática, investigadores experientes não se limitam a uma única ferramenta. Cada buscador tem particularidades na forma como escaneia, quais portas prioriza e como interpreta banners. Uma consulta que retorna zero resultados no Shodan pode retornar dezenas no Censys — e vice-versa. A prática de consultar múltiplas fontes é o que garante cobertura completa em investigações onde não se pode correr o risco de perder informação.
Limites Éticos e Legais: O Que Pode e o Que Não Pode
O Shodan opera em uma zona que muitos consideram cinzenta, mas que tem limites legais claros que todo usuário precisa respeitar. Consultar o Shodan para visualizar informações já indexadas é legal — assim como é legal olhar um prédio da calçada. Usar essas informações para acessar sistemas sem autorização é crime — assim como entrar no prédio arrombando a porta.
A consulta ao Shodan é fundamentalmente passiva: você está visualizando dados que o Shodan já coletou. Não está enviando pacotes para os dispositivos, não está tentando explorar vulnerabilidades e não está acessando nenhum sistema. Essa atividade é legal em praticamente todas as jurisdições, incluindo o Brasil. O artigo 154-A do Código Penal (invasão de dispositivo informático) exige "invadir" — e visualizar resultados de busca no Shodan não constitui invasão.
O limite é cruzado quando o investigador usa as informações do Shodan para interagir com dispositivos alheios. Acessar uma câmera de segurança sem senha encontrada via Shodan, conectar-se a um banco de dados MySQL exposto, ou explorar uma vulnerabilidade identificada em um servidor — mesmo que "só para ver" — pode configurar acesso não autorizado. O fato de o dispositivo estar exposto sem proteção não autoriza o acesso. A analogia é direta: uma porta destrancada não é um convite para entrar.
Para profissionais de segurança que realizam assessments autorizados (pentests), o Shodan é uma ferramenta legítima e valiosa na fase de reconnaissance — desde que o escopo do assessment inclua explicitamente os IPs e serviços identificados. Para investigadores que atuam em contextos judiciais, os dados do Shodan podem ser usados como evidência de exposição e negligência de segurança, sem que o investigador precise interagir diretamente com os dispositivos. As metodologias forenses aplicadas à análise de infraestrutura exposta devem sempre documentar que as informações foram obtidas de fontes públicas.
FAQ
O Shodan é gratuito?
O Shodan oferece um plano gratuito com funcionalidades limitadas — buscas básicas, até 2 páginas de resultados e poucas consultas à API. Para uso profissional, a licença Membership custa US$ 49 como pagamento único (não é assinatura) e desbloqueia filtros avançados, mais resultados e acesso expandido à API. Os planos Small Business (US$ 299/mês) e Corporate (US$ 899/mês) oferecem volumes maiores de API, monitoramento contínuo e funcionalidades empresariais. Para quem está avaliando a ferramenta, o plano gratuito é suficiente para entender as capacidades básicas.
É legal usar o Shodan?
Sim, consultar o Shodan é legal. Você está visualizando dados que já foram coletados publicamente — é equivalente a usar o Google. O que é ilegal é usar informações do Shodan para acessar sistemas sem autorização. Se você encontra um banco de dados exposto sem senha, visualizar essa informação no Shodan é legal; conectar-se ao banco de dados é potencialmente crime. Para profissionais de segurança realizando testes autorizados, o Shodan é uma ferramenta legítima de reconnaissance na fase de coleta de informações, desde que o escopo do teste esteja formalmente definido.
Quais os filtros mais úteis do Shodan para investigação?
Os filtros mais utilizados em investigações são: country: (filtrar por país), org: (filtrar por organização/empresa), port: (filtrar por porta de serviço), vuln: (buscar por CVE específico), ssl.cert.subject.cn: (buscar por domínio em certificado SSL), product: (filtrar por software), http.title: (buscar por título de página web) e has_screenshot:true (dispositivos com captura de tela). A combinação de filtros com operadores booleanos permite buscas extremamente precisas. Por exemplo: org:"Empresa X" port:3389 country:BR encontra serviços RDP expostos de uma empresa específica no Brasil.
O Shodan pode encontrar meus dispositivos pessoais?
Se seus dispositivos estão expostos na internet com serviços acessíveis publicamente, sim — o Shodan pode encontrá-los, assim como qualquer atacante. Isso inclui câmeras de segurança, NAS (armazenamento de rede), roteadores com painel de administração exposto e servidores caseiros. Para verificar, busque seu IP público no Shodan (descubra-o em whatismyip.com). Se aparecem resultados, significa que serviços no seu IP estão acessíveis externamente. A medida corretiva mais eficaz é garantir que o firewall do roteador bloqueie acessos externos não necessários e que todos os serviços expostos usem senhas fortes e estejam atualizados.
O Shodan é uma ferramenta indispensável para investigadores digitais e profissionais de segurança. Quando sua investigação precisa ir além da infraestrutura digital e localizar dispositivos ou suspeitos no mundo físico, o HI SPY oferece rastreamento em tempo real sem instalação no alvo — a ponte entre a investigação de infraestrutura digital e a geolocalização precisa.