w não lida diretamente com os dispositivos tty - exibe apenas os registrados em /run/utmp . Programas (como emuladores de terminal ou daemons de login remotos) geralmente se registram para se tornarem visíveis na lista w / who , mas não são necessários para fazer isso.
Por exemplo, o utilitário screen desregistra-se quando você desanexa, apesar de manter os dispositivos pty alocados. Um substituto popular da tela, tmux , nunca usa o utmp - não está programado para usá-lo. Alguns emuladores de terminal não se registram simplesmente por falta de privilégios (o programa precisa ter setgid utmp). Poderia haver mais razões, e nem todas elas maliciosas.
Use lsof ou fuser para ver todos os processos com essas ptys abertos:
sudo fuser -v /dev/pts/*
sudo lsof /dev/pts/*