¿Qué es un honeypot? Cómo colaboran los honeypots con la seguridad

Quizás hayas escuchado el término “honeypot” y te hayas preguntado qué es y cómo puede hacer que tu sistema informático sea más seguro. Este artículo incluye todo lo que debes saber sobre los honeypots y el lugar que ocupan en la ciberseguridad.

Definición de honeypot

Una definición de honeypot proviene del mundo del espionaje, donde se describe que espías como Mata Hari utilizan una relación romántica para robar secretos, poniendo una "trampa de miel" (honeypot en inglés). Muchas veces, un espía enemigo resulta víctima de una trampa de miel y luego se lo chantajea para que revele todo lo que sabe.

En términos de seguridad informática, un honeypot cibernético funciona de manera similar, al tender una trampa para los hackers. Es un sistema informático que se “sacrifica” para atraer ciberataques, como un señuelo. Simula ser un objetivo para los hackers y utiliza sus intentos de intrusión para obtener información sobre los cibercriminales y la forma en que operan o para distraerlos de otros objetivos.

Cómo funcionan los honeypots

El honeypot se parece a un sistema informático real, con aplicaciones y datos, que hace creer a los ciberdelincuentes que es un objetivo legítimo. Por ejemplo, un honeypot podría imitar el sistema de facturación de clientes de una empresa, un blanco frecuente de los ataques de los delincuentes que quieren encontrar números de tarjetas de crédito. Una vez que los hackers están adentro, se los puede rastrear y evaluar su comportamiento para obtener pistas para mejorar la seguridad de la red.

Los honeypots tienen vulnerabilidades de seguridad intencionales para atraer a los atacantes. Por ejemplo, un honeypot podría tener puertos que respondan a un escaneo de puertos o contraseñas débiles. Los puertos vulnerables podrían dejarse abiertos para atraer a los atacantes al entorno del honeypot, en lugar de la verdadera red en servicio, que sería más segura.

Un honeypot no está configurado para abordar un problema específico, como un firewall o un antivirus. Es una herramienta de información que puede ayudarte a comprender las amenazas actuales para tu empresa y detectar la aparición de nuevas amenazas. Gracias a la información obtenida a través de un honeypot, se pueden priorizar y centrar las iniciativas de seguridad.

Distintos tipos de honeypots y cómo funcionan

Se pueden utilizar diversos tipos de honeypots para detectar distintos tipos de amenazas. Las distintas definiciones de los honeypots se basan en el tipo de amenaza que se aborda. Todas tienen cabida en una estrategia de ciberseguridad completa y eficaz.

Las trampas de correo electrónico o trampas de spam colocan una dirección de correo electrónico falsa en un lugar oculto donde solo un recolector de direcciones automatizado podrá encontrarla. Como la dirección solamente se utiliza como trampa de correo electrónico no deseado, hay una certeza del 100 % de que cualquier correo electrónico que llegue a ella será correo no deseado. Todos los mensajes con el mismo contenido que los enviados a la trampa de correo electrónico no deseado se bloquean automáticamente y la dirección IP de origen de los remitentes se añade a una lista negra.

Se puede establecer una base de datos señuelo para vigilar las vulnerabilidades del software y detectar los ataques que vulneran la seguridad de la arquitectura del sistema o que utilizan métodos como inyección de SQL, vulnerabilidad de la seguridad de los servicios SQL o abuso de privilegios.

Un honeypot de malware imita las aplicaciones de software y las API para inducir ataques de malware. Luego, se analizan las características del malware para desarrollar software antimalware o para resolver las vulnerabilidades en la API.

El objetivo de un honeypot para arañas es atrapar los rastreadores web (indizadores web) creando páginas web y vínculos a los que solo los rastreadores pueden acceder. La detección de los rastreadores puede ayudarte a aprender a bloquear los bots maliciosos, así como los rastreadores de la red de publicidad.

Al monitorear el tráfico que ingresa al honeypot, puedes evaluar lo siguiente:

de dónde vienen los cibercriminales;
el nivel de amenaza;
qué modus operandi están usando;
qué datos o aplicaciones les interesan;
la eficacia de tus medidas de seguridad para detener los ciberataques.

Otra definición de honeypot analiza si este es de alta interacción o baja interacción. Los honeypots de baja interacción utilizan menos recursos y recogen información básica sobre el nivel y el tipo de amenaza, así como su procedencia. Son fáciles y rápidos de configurar, generalmente con apenas algunos protocolos TCP e IP y servicios de red básicos simulados. Pero como el honeypot no tiene nada que permita captar al atacante durante mucho tiempo, no obtendrás información detallada sobre sus hábitos o sobre amenazas complejas.

Por otra parte, los honeypots de alta interacción tienen como objetivo que los hackers pasen el mayor tiempo posible dentro de este y brinden mucha información sobre sus intenciones y objetivos, así como sobre las vulnerabilidades que están aprovechando y su modus operandi. Imagínate un pote de miel con “adherencia” adicional: bases de datos, sistemas y procesos que pueden captar a un atacante durante mucho más tiempo. Esto permite a los investigadores rastrear adónde se dirigen los atacantes en el sistema para buscar información confidencial, qué herramientas utilizan para aumentar los privilegios o qué exploits utilizan para atacar el sistema.

por qué se utilizan honeypots para la ciberseguridad

No obstante, los honeypots de alta interacción exigen muchos recursos. Su configuración y monitoreo resultan más difíciles y llevan más tiempo. También pueden crear un riesgo; si no están protegidos con un “honeywall”, un hacker muy decidido y astuto podría usar un honeypot de alta interacción para atacar a otros hosts de Internet o para enviar correo electrónico no deseado desde una máquina afectada.

Ambos tipos de honeypot tienen un lugar en la ciberseguridad. Con una mezcla de ambos, puedes mejorar la información básica sobre los tipos de amenazas que provienen de los honeypots de baja interacción, ya que aportan información sobre intenciones, comunicaciones y exploits del honeypot de alta interacción.

Al utilizar los honeypots cibernéticos para crear un marco de inteligencia de amenazas, una empresa puede constatar que sus gastos en ciberseguridad estén destinados a los lugares correctos y que pueda ver dónde tiene puntos débiles de seguridad.

Las ventajas de usar honeypots

Los honeypots pueden ser una buena forma de exponer las vulnerabilidades de los sistemas más importantes. Por ejemplo, un honeypot puede mostrar el alto nivel de amenaza que suponen los ataques a los dispositivos de IoT. También puede proponer formas de mejorar la seguridad.

El uso de un honeypot tiene varias ventajas sobre el intento de detectar una intrusión en el sistema real. Por ejemplo, por definición, un honeypot no debería recibir tráfico legítimo, por lo que es probable que cualquier actividad registrada sea un intento de intrusión o de sondeo.

Eso facilita mucho la detección de patrones, como direcciones IP similares (o direcciones IP que provienen todas de un mismo país) que se utilizan para llevar a cabo un barrido de redes. Por el contrario, tales indicios de ataque se pierden fácilmente en el ruido cuando se observan altos niveles de tráfico legítimo en la red central. La gran ventaja de usar la seguridad de honeypots es que estas direcciones maliciosas podrían ser las únicas que veas, lo que hace que el ataque sea mucho más fácil de detectar.

Debido a que los honeypots manejan un tráfico muy reducido, también exigen pocos recursos. No tienen grandes exigencias en cuanto a hardware; puedes configurar un honeypot en una computadora vieja que ya no utilices. En cuanto al software, hay disponibles varios honeypots ya escritos en depósitos en línea, lo que reduce aún más la cantidad de trabajo interno necesario para poner en marcha uno de estos.

Los honeypots tienen una baja tasa de falsos positivos. Es un claro contraste con los sistemas tradicionales de detección de intrusos (intrusion-detection systems, IDS), que producen un nivel elevado de falsas alertas. Como ya mencionamos, eso ayuda a priorizar los esfuerzos y a mantener una baja demanda de recursos en los honeypots. (De hecho, al utilizar los datos que reúnen los honeypots y relacionarlos con otros registros del sistema y del firewall, los IDS pueden configurarse con alertas más adecuadas, para producir menos falsos positivos. De esa manera, los honeypots ayudan a perfeccionar y mejorar otros sistemas de ciberseguridad).

Los honeypots ofrecen información fiable sobre la evolución de las amenazas. Proporcionan información sobre vectores de ataque, exploits y malware, y, en el caso de las trampas de correo electrónico, sobre los spammers y los ataques de phishing. Los hackers perfeccionan continuamente sus técnicas de intrusión; un honeypot cibernético permite detectar nuevas amenazas e intrusiones emergentes. El uso correcto de los honeypots también ayuda a erradicar los puntos ciegos.

Los honeypots también constituyen una gran herramienta de capacitación para el personal técnico de seguridad. Conforman un entorno controlado y seguro para mostrar cómo trabajan los atacantes y examinar diferentes tipos de amenazas. Con un honeypot, el personal de seguridad no se distraerá con el tráfico real que usa la red y podrá concentrarse totalmente en la amenaza.

Los honeypots también captan amenazas internas. La mayoría de las organizaciones dedican su tiempo a defender el perímetro y garantizar que los extraños e intrusos no puedan entrar. Sin embargo, si solo defiendes el perímetro, cualquier hacker que haya logrado pasar el firewall tiene luz verde para hacer todo el daño que pueda una vez que está adentro.

Los firewalls tampoco ayudan en caso de amenaza interna, como un empleado que quiere robar archivos antes de dejar su trabajo, por ejemplo. Un honeypot ofrece información igualmente favorable sobre las amenazas internas y muestra las vulnerabilidades en áreas tales como los permisos que hacen que los usuarios internos puedan vulnerar la seguridad del sistema.

Por último, al configurar un honeypot estás siendo altruista y ayudando a otros usuarios informáticos. Cuanto más tiempo pasen los hackers desperdiciando su energía en los honeypots, menos tiempo tendrán para hackear sistemas activos y provocar daños reales, a ti o a otros.

Los peligros de los honeypots

Si bien la ciberseguridad de los honeypots ayuda a delimitar el entorno de amenaza, estos no detectan todo lo que sucede, sino solo la actividad que está dirigida a ellos. El hecho de que una determinada amenaza no haya apuntado al honeypot no significa que no exista; es importante estar al día con las noticias de seguridad informática y no depender únicamente de los honeypots para notificar amenazas.

Un buen honeypot bien configurado engañará a los atacantes y les hará creer que han accedido al sistema real. Tendrá los mismos mensajes de aviso de acceso, los mismos campos de datos, incluso el mismo aspecto y logotipos que tus sistemas reales. Sin embargo, si un atacante se da cuenta de que es un honeypot, puede proceder a atacar tus otros sistemas y dejar el honeypot intacto.

Una vez que el atacante ha identificado las huellas digitales de un honeypot, puede crear ataques falsos para distraer la atención de un verdadero exploit dirigido contra tus sistemas de producción. También puede proporcionar información incorrecta al honeypot.

Peor aún, un atacante inteligente podría usar un honeypot para acceder a tus sistemas. Es por eso que los honeypots nunca pueden reemplazar los controles de seguridad propiamente dichos, como los firewalls y otros sistemas de detección de intrusos. Teniendo en cuenta que un honeypot podría servir como plataforma de lanzamiento para una intrusión mayor, procura que todos los honeypots estén bien protegidos. Un “honeywall” puede proporcionar la seguridad básica de un honeypot y evitar que los ataques dirigidos contra este lleguen a tu sistema activo.

Un honeypot debería proporcionar información para ayudar a priorizar tus iniciativas en materia de ciberseguridad, pero no puede sustituir a la ciberseguridad propiamente dicha. Independientemente de la cantidad de honeypots que tengas, considera la posibilidad de implementar un paquete como Kaspersky's Endpoint Security Cloud para proteger los activos de tu empresa. (Kaspersky usa sus propios honeypots para detectar amenazas de Internet, para que tú no tengas que hacerlo).

En general, las ventajas de usar honeypots superan con creces los riesgos. Con frecuencia, se piensa que los hackers son una amenaza distante e invisible. Sin embargo, con el uso de los honeypots, podrás ver exactamente lo que están haciendo, en tiempo real, y usar esa información para impedir que obtengan lo que quieren.

Vínculos relacionados

El ataque a la IoT:Kaspersky detectó más de 100 millones de ataques a dispositivos inteligentes durante la primera mitad de 2019

Cómo penetra el malware en las computadoras y en los sistemas informáticos

¿Qué es el secuestro del navegador?

¿Qué es un honeypot?

Kaspersky

¿Qué es un honeypot? Obtén información sobre los honeypots, cómo “atrapan” a los ciberataques y qué puedes hacer para que tu computadora sea más segura.