Lo que descubrió un investigador al rastrear la web mediante los iconos de los sitios

La pequeña imagen junto al nombre de la pestaña puede decir mucho más sobre un servidor de lo que parece. Un especialista en seguridad creó un sistema con inteligencia artificial que analizó millones de iconos de sitios y los convirtió en una herramienta para buscar software y la infraestructura asociada.
Los iconos de los sitios rara vez cambian después de instalar un programa o desplegar un servidor. Gracias a esa estabilidad, el mismo icono permite encontrar en Internet miles de sistemas con el mismo software. Para encontrar los nodos necesarios, basta calcular el hash de la imagen y comprobar en cuáles aparece el mismo valor.
El autor del proyecto recopiló más de 3 millones de iconos a partir de los datos del buscador Shodan y construyó un sistema que asocia automáticamente los hashes con los fabricantes y los productos de software. Aproximadamente el 60% de las imágenes se encontraban en la ruta estándar /favicon.ico, y más del 84% de los archivos usaban el formato PNG.
Para procesar los datos, el especialista empleó un sistema con inteligencia artificial. Primero, el programa buscaba en Shodan hasta 100 servidores con el mismo hash; luego agrupaba los resultados por el contenido de las páginas y analizaba los nombres, el software de servidor, los certificados y otros indicadores. Si faltaban datos, el sistema abría los sitios en un navegador, realizaba búsquedas adicionales y comprobaba los identificadores de los programas en una base de vulnerabilidades.
Este enfoque permite no solo identificar el software, sino también detectar servidores falsos creados para vigilar las acciones de atacantes. Si el mismo icono aparece simultáneamente en páginas de routers MikroTik, switches FortiSwitch, servidores Oracle y otros productos no relacionados, el sistema considera que esa combinación es un signo de infraestructura falsa.
Los iconos también ayudan a estimar la magnitud de la difusión de software vulnerable. Tras la divulgación de CVE-2026-41940 en cPanel & WHM, el número de servidores con el icono correspondiente aumentó de forma inesperada. El autor supone que la causa podrían ser nuevos servidores falsos que los especialistas en seguridad desplegaban para observar los ataques y recopilar información sobre las acciones de los atacantes.
Durante el análisis, el sistema encontró ejemplos aún más preocupantes. Entre los nodos hallados había sesiones noVNC abiertas con Firefox en ejecución. Algunos servidores no requerían contraseña, y en los navegadores se ejecutaban programas para minar criptomonedas o quedaban abiertas cuentas de redes sociales.
El autor publicó parte del conjunto de datos y la metodología de análisis. Para cada hash se recopilaron sumas de verificación, direcciones comunes de iconos, la descripción del producto supuesto y un intento de determinar su identificador estándar. Al mismo tiempo, el especialista advierte que un icono no puede considerarse una prueba definitiva de que un servidor pertenece a un producto concreto. La imagen es fácil de reemplazar o falsificar intencionalmente.
A pesar de las limitaciones, los iconos de los sitios permiten estudiar de forma sigilosa y a gran escala la infraestructura accesible desde Internet. Una imagen de apenas 16 por 16 píxeles puede vincular miles de servidores, ayudar a identificar el software instalado y reducir el campo de búsqueda de sistemas potencialmente vulnerables.