Los honeypots son herramientas que muchas organizaciones utilizan para defenderse de forma activa, mientras que los investigadores de ciberseguridad los usan para realizar pruebas y descubrir las técnicas de los atacantes. Pueden ser una ayuda efectiva para exponer las vulnerabilidades, mostrar el nivel de amenaza y proponer soluciones de seguridad.
¿Qué es un honeypot?
El Instituto Nacional de Ciberseguridad (INCIBE) define el honeplot como «una herramienta de seguridad que actúa como equipo o sistema altamente atractivo para un ciberdelincuente». Por su parte, Kaspersky aclara que «una definición de honeypot proviene del mundo del espionaje, donde se describe que espías como Mata Hari utilizan una relación romántica para robar secretos, poniendo una «trampa de miel» (honeypot en inglés)».
Analizando las distintas definiciones, podemos evidenciar que un honeypot es un sistema conectado a la red y configurado como señuelo para atraer a los ciberatacantes. La función de un honeypot es representarse a sí mismo en Internet para recopilar información sobre los intentos de acceso por parte de usuarios no autorizados.
Por otro lado, las «trampas de spam» se utilizan para atraer tráfico web de spam en el Proyecto Honey Pot, una red basada en web de honeypots incrustados en software de sitios web. Su objetivo es recopilar direcciones IP, correos electrónicos e información relacionada con los spammers para que los administradores de sitios web puedan reducir al mínimo la cantidad de spam en sus páginas.
¿Cómo funcionan los honeypots?
Los honeplots suelen utilizar sistemas operativos reforzados con medidas de seguridad adicionales. Ayudan a identificar el entorno de ciberamenazas, aunque detecten sólo la actividad dirigida a ellos.
Suelen estar configurados para engañar al atacante con presuntas vulnerabilidades explotables. Dado que no hay ninguna razón para que los usuarios legítimos accedan a un honeypot, cualquier intento de comunicarse se considera hostil.
Una operación de honeypot utiliza un ordenador, aplicaciones y datos que simulan el comportamiento de un sistema atractivo para los atacantes, como dispositivos del Internet de las cosas (IoT) o una red de servicios públicos o financieros.
Tipos de honeypots
Según su diseño y despliegue, existen dos tipos principales de honeypots: de producción y de investigación. Los honeypots de investigación analizan de cerca la actividad de los hackers y su objetivo es descubrir cómo se desarrollan para proteger mejor los sistemas. Además, los datos colocados en un honeypot pueden ayudar a los analistas a rastrear los datos robados e identificar las conexiones entre los distintos atacantes.
Los honeypots de producción suelen desplegarse dentro de las redes junto a los servidores de producción. En este caso, «el honeypot actúa como señuelo, alejando a los intrusos de la red de producción como parte del sistema de detección de intrusiones (IDS)», informan los expertos de TechTarget.
Por otra parte, los honeypots pueden clasificarse en puros, de alta interacción o de baja interacción. Los más complejos son los honeypots puros, que se caracterizan por ser realistas para los atacantes y por facilitar la supervisan del enlace a la red.
Los honeypots de alta interacción imitan las actividades de los sistemas de producción, alojando una variedad de servicios. Su objetivo es atraer a un atacante para que obtenga acceso root al servidor y, a continuación, supervisar su actividad.
Los honeypots de baja interacción se utilizan normalmente para detectar los bots y malware. Simulan los vectores de ataque más comunes en la red, siendo más fáciles de mantener. El inconveniente de este tipo de honeypot es que es más probable que parezca falso para un ciberatacante.
Ventajas de los honeypots
El mayor beneficio de un honeypot es la información que proporciona frente a los ciberataques, con la consiguiente reducción del impacto de las incidencias y un ahorro en términos de tiempo y esfuerzo.
Los honeypots recopilan datos de ataques reales y otras actividades no autorizadas, ofreciendo a los analistas una rica fuente de información. Las tecnologías de detección de ciberseguridad ordinarias generan alertas que pueden incluir un volumen significativo de falsos positivos, mientras que un honeypot los reduce de forma considerable.
Dicho eso, un honeypot pueden ser una buena inversión para una organización, puesto que sólo interactúa con actividades maliciosas y no requiere recursos de alto rendimiento para procesar grandes volúmenes de tráfico de red en busca de ataques.
«Gracias a dicha herramienta podremos adelantarnos a ellos, dejando un espacio temporal para la creación de acciones de defensa», destacan desde INCIBE aclarando también que su instalación «no puede, en ningún momento, reemplazar el resto de las medidas de seguridad, pero puede ser un gran complemento preventivo que nos ayude en la lucha contra la ciberdelincuencia».
