Honeypot: una trampa para los ciberdelincuentes

Fecha de publicación 12/06/2023
Autor
INCIBE (INCIBE)
Candado blanco en una red

Como podemos ver en este blog, los ciberdelincuentes están constantemente creando nuevas estrategias para hacernos caer en su red. Con métodos cada vez más sofisticados, se las ingenian para que seamos víctimas de sus ciberataques.  

Pero, ¿y si le diésemos la vuelta a la situación?, ¿y si fuesen ellos los que, como ratones que creen haber encontrado un apetecible queso, cayesen en nuestra trampa?

En el artículo de hoy, hablaremos precisamente de eso, conoceremos una técnica de protección que funciona como una trampa para ratones, atrayendo a los ciberatacantes con un suculento ‘cibermanjar’: el honeypot.

¿Qué es un honeypot?

Un honeypot es una herramienta de seguridad que actúa como equipo o sistema altamente atractivo para un ciberdelincuente (señuelo). Esta herramienta se utiliza para monitorizar o detectar posibles ciberataques en nuestra empresa o entorno, y así aprender de estos para poder evitarlos en el futuro. De esta forma, los honeypot serán los primeros en detectar los posibles ciberataques, antes de que puedan afectar a otros sistemas críticos. 

Para engañar a los ciberdelincuentes, los honeypot crean servicios falsos, que suelen ser propensos a atacar, como un servidor web o una base de datos. Una vez que los ciberdelincuentes caen en la trampa y atentan contra ellos, los datos del ataque son recogidos y analizados por esta herramienta para ser utilizados posteriormente. Para ello, poseen paneles de control a través de los cuales se muestran los datos obtenidos.

Estos datos, como veremos a continuación, pueden utilizarse para obtener información de los ataques y de su procedencia, y para preparar a los sistemas reales ante posibles amenazas similares. 

¿Cómo se usa un honeypot para detectar intrusiones?

Cuando instalamos el honeypot, por norma general, lo hacemos en un equipo que no está en producción, es decir, que no se usa para el trabajo diario. Este equipo será el que recibirá el ataque y nos ayudará a recopilar información sobre este, para poder evitarlo en los equipos que sí están en actividad en nuestra empresa.  

En caso de que haya un ataque, nos avisará de qué tipo es, de qué país procede, a qué servicio está atacando (a bases de datos, página web, carpetas compartidas, etc.) e incluso del sistema operativo del atacante. 

Esto nos permite actuar de manera rápida, corrigiendo errores y previniendo así posibles ataques a los sistemas en producción de la organización. Además, en caso de haber múltiples ataques o atacantes, nos permite poner filtros o agruparlos por diferentes parámetros o variables, obteniendo una vista general de lo que está ocurriendo o puede llegar a ocurrir. 

A través del panel de control del mismo, podremos ver multitud de datos de estos ciberataques.  

Fuente: Elaboración propia

Existen diferentes formas de aplicar esta herramienta según los resultados que pretendamos obtener. Podremos emular sistemas operativos reales con servicios, o incluso software que utilicemos de manera continua en la empresa. Un honeypot se puede desplegar tanto de forma local, como en la nube, en función de nuestras preferencias. 

Esto desemboca en una alta capacidad de personalización a la hora de elegir una herramienta de honeypot, pudiendo decantarnos por la que más se adapte a los requisitos de nuestra empresa y su infraestructura. 

¿Qué conclusión sacamos de la utilidad de un honeypot en nuestra empresa?

Como hemos visto, el mayor beneficio de un honeypot para nuestro negocio es la protección que nos ofrece frente a los ciberataques. Gracias a dicha herramienta podremos adelantarnos a ellos, dejando un espacio temporal para la creación de acciones de defensa. 

De esta forma, no solo podremos reducir el impacto de los ataques, sino que ahorraremos en tiempo y esfuerzo. Además, podremos aprender de los ataques para adelantarnos a posibles amenazas futuras. 

La instalación de un honeypot no puede, en ningún momento, reemplazar el resto de las medidas de seguridad. Pero puede ser un gran complemento preventivo que nos ayude en la lucha contra la ciberdelincuencia. 

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).