¿Qué es un honeypot y cómo funciona?

Internet abrió las puertas a las organizaciones privadas y públicas para conectarse rápidamente y compartir información. Esto tiene muchas ventajas, como mejores colaboraciones, mayor productividad, comunicación más rápida, etc. Sin embargo, estas ventajas conllevan algunos riesgos. Su organización puede ser presa de piratas informáticos capaces de burlar los últimos métodos de ciberseguridad.

Internet abrió las puertas a las organizaciones privadas y públicas para conectarse rápidamente y compartir información. Esto tiene muchas ventajas, como mejores colaboraciones, mayor productividad, comunicación más rápida, etc.

Sin embargo, estas ventajas conllevan algunos riesgos. Su organización puede ser presa de piratas informáticos capaces de eludir los últimos métodos de las soluciones de ciberseguridad. Puede que intentes defenderte de estos hackers con un software antivirus, un cortafuegos, una lista de control de acceso (ACL) en el router o un sistema de detección de intrusiones (IDS).

A pesar de sus mejores esfuerzos, es posible que un pirata informático o un intruso obtenga acceso no autorizado a su sistema. Los piratas informáticos disponen de las herramientas más modernas para escanear la red en busca de vulnerabilidades y lanzar un ataque dirigido directamente a ellas, y siempre están aprendiendo a burlar los nuevos sistemas de seguridad. Dicho esto, hay una forma de evitar que los hackers entren en su sistema. Los honeypots pueden engañar a los hackers haciéndoles creer que es un objetivo potencial para atacar.

Los honeypots son un mecanismo de seguridad para atraer a los atacantes y mantenerlos ocupados en ellos. Un honeypot se configura como un señuelo para entender el comportamiento del atacante. Esto le permite entender sus vulnerabilidades para que pueda mejorar sus políticas de seguridad.

¿Qué es un Honeypot?

Un honeypot puede ser cualquier recurso de su organización. Puede tratarse de software, redes, servidores, routers o cualquier aplicación de alto valor que se presente en Internet como un sistema vulnerable al que pueden dirigirse los atacantes. 

Puede hacer que un ordenador de su red ejecute la aplicación honeypot. Se muestra deliberadamente como comprometido en la red para que los atacantes los exploten.

¿Cómo funciona Honeypot?

El sistema honeypot parece legítimo con aplicaciones y datos para hacer creer a los atacantes que se trata de un ordenador real de la red y caigan en la trampa que les tiendes.

Una vez comprometido el sistema, puede utilizar herramientas de gestión de la seguridad para rastrear y evaluar el comportamiento del intruso. El honeypot es ahora una herramienta que te proporciona información sobre las amenazas actuales. Con esta información, obtienes las pistas para construir un marco de seguridad mejor.

Pueden utilizarse para investigar las amenazas a la ciberseguridad, las brechas y las tecnologías que utilizan los intrusos para entrar en la red. Otro beneficio de implementar un honeypot en su red incluye:

1. Menos falsos positivos.
2. Desviar el tráfico malicioso de los sistemas valorados de la red.
3. Reciba una alerta temprana cuando un sistema empiece a estar en peligro. 
4. Recopilar información sobre los atacantes y sus métodos.
5. Reúna pruebas forenses y legales sin poner en peligro su red.

Debe asegurarse de que sus honeypots no contengan información crítica, y hacer uso de herramientas de gestión de la seguridad para poder conocer mejor al atacante, sus herramientas, tácticas y procedimientos.

Algunas de las opciones vulnerables que cualquier intruso buscaría para entrar en el sistema son:

1. Tener una contraseña débil que un intruso pueda adivinar fácilmente para entrar en el sistema.
2. La mayoría de los intrusos tendrían como objetivo el sistema de facturación de la empresa para encontrar los números de las tarjetas de crédito de los clientes.
3. Tener puertos abiertos que serán fáciles de localizar cuando un intruso haga un escaneo de puertos.

Tipos de Honeypots

Existen diferentes tipos de honeypots para varios tipos de amenazas. Puede utilizar estos honeypots en su red para evitar que sus sistemas se vean comprometidos. Veamos en detalle cada uno de ellos.

Trampas del correo electrónico

Puede colocar trampas de correo electrónico, o trampas de spam, en un lugar oculto que sólo puedan encontrar los recolectores automáticos de direcciones. Los recolectores automáticos de direcciones buscan en Internet direcciones de correo electrónico para enviar correos masivos o spam.

Para evitar correos spam en su red, puede configurar una dirección de correo electrónico falsa que actúe como trampa de correo electrónico. Estas direcciones de correo electrónico no tienen ningún propósito específico que no sea el de ser utilizadas como trampa de correo electrónico o spam. Lo más probable es que cualquier mensaje que llegue a la trampa de correo electrónico sea spam.

Puede obtener el origen del atacante que envía mensajes spam en la cabecera HTTP y puede bloquearlos simplemente incluyendo las direcciones IP del remitente en la denylist.

Base de datos de señuelos

Las bases de datos pueden verse fácilmente comprometidas y los datos pueden ser robados mediante inyección SQL.

La base de datos señuelo utiliza tecnología de engaño. La ventaja de tener una base de datos señuelo es que protege las bases de datos de amenazas desconocidas. Un atacante cruza su línea de defensa y consigue acceder a algunos de sus datos en la base de datos, pero se quedaría con algo que no fuera importante para usted.

Honeypot de malware

Un honeypot de malware imita un programa de software para atraer un ataque de malware. Tras el ataque, los profesionales de la ciberseguridad pueden utilizar los datos para analizar el tipo de ataque y cerrar las vulnerabilidades o crear software antimalware.

Por ejemplo, los ingenieros de software desarrollan un honeypot Ghost USB para emular un dispositivo de almacenamiento USB. Si su sistema es atacado por malware que infecta unidades USB, el honeypot engañará al malware para que ataque el sistema emulado.

Araña nido de abeja

Los ingenieros de software diseñan honeypots araña para atrapar rastreadores web o arañas. Crean páginas web y enlaces sólo accesibles a rastreadores automatizados. El honeypot araña identifica estas arañas como bots maliciosos y los rastreadores de redes publicitarias que atacan su sistema.

Los bots maliciosos están interesados en rastrear su página web para recopilar los backlinks, y el rastreador de la red publicitaria visita su sitio para determinar su contenido con el fin de ofrecer anuncios relevantes.

Honeypot de baja o alta interacción

Los honeypots de baja interacción utilizan menos recursos y recopilan información básica sobre el tipo de amenaza y su origen, y no pueden rechazar a los atacantes el tiempo suficiente para recopilar información vital como su comportamiento y complejidad.

Por el contrario, los honeypots de alta interacción atraen al atacante para que se quede más tiempo dándole información. Cuanto más tiempo permanezca el atacante en la red, más fácil será conocer sus intenciones y sus objetivos. Estos honeypots de alta interacción tienen características atractivas como la base de datos, los sistemas y los procedimientos que pueden atraer a un atacante durante un periodo prolongado.

Tanto los honeypots de alta interacción como los de baja interacción son útiles en ciberseguridad. Es mejor utilizar una combinación de ambos tipos de honeypots. Un honeypot de baja interacción es mejor para aprender información sobre el tipo de ataque y los honeypots de alta interacción dan detalles sobre las intenciones del intruso y su método de comunicación.

Ventajas del uso de Honeypots

Los honeypots son sistemas señuelo, por lo que no reciben ningún tráfico. Si lo reciben, significa que procede de un intruso. Cuando detectan una intrusión, puedes buscar su dirección IP para saber de qué país procede y bloquearla si es spam.   

Los honeypots son recursos ligeros porque gestionan un tráfico limitado.

Como no requieren una versión superior del hardware, cualquier ordenador de baja configuración puede apartarse para que se ejecute la aplicación honeypot.

Puede hacer uso de trampas para tarros de miel hechas a medida que están disponibles en línea e implementar una de ellas eliminaría el esfuerzo interno o la contratación de profesionales.

La información de los honeypots revela cómo evolucionan las amenazas, ya que ofrecen detalles sobre vectores de ataque, exploits y malware.

Los hackers cambian su modo de intrusión cada vez y un ciber honeypot detectará las nuevas amenazas e intrusiones. Los honeypots son herramientas de buenas prácticas para los desarrolladores de reglas de ciberseguridad. Mediante el uso de un honeypot, se puede prestar más atención a la supervisión de las amenazas que al tráfico normal.

Una amenaza no siempre es un intruso. Un intruso puede haber traspasado el cortafuegos o un empleado puede ser una amenaza al revelar o robar información confidencial. En tal caso, un cortafuegos no podría detectar tales amenazas.

Pero una trampa "honey pot" puede reunir información sobre esas vulnerabilidades planteadas por el infiltrado. 

La conclusión final es que cuando haces que el honeypot sea más atractivo para el hacker, éste pasa más tiempo trabajando en él y pierde el tiempo en lugar de causar daños a tus sistemas.

Reflexiones finales

En este post, hemos visto qué es un honeypot y cómo funciona para protegerte de los hackers. Los honeypots exponen las vulnerabilidades del sistema, que pueden ser benignas o maliciosas, pero debes contar con una solución de ciberseguridad completa para abordar estos problemas y ayudarte a recopilar inteligencia para construir la solución adecuada.

El coste de mantenimiento de un honeypot puede ser elevado, ya que requiere conocimientos especializados y un equipo de profesionales de la ciberseguridad. Debe implementar y administrar un sistema que parece para exponer los recursos de una organización. Aun así, evitar que los atacantes accedan a cualquiera de sus sistemas de producción es de suma importancia.