La ciberseguridad no siempre es un caso de atacantes que intentan atacar a víctimas y redes inocentes. Gracias a un sistema informático de señuelo conocido como "honeypot", este papel a veces se invierte.
Si bien un honeypot puede traer a la mente la imagen de Winnie the Pooh dándose un capricho con una tina gigante de miel, tiene una connotación diferente en el mundo de la ciberseguridad.
Pero, ¿qué es exactamente un honeypot y cómo ayuda a mitigar los ciberataques? ¿Existen diferentes tipos de honeypots y también vienen con algunos factores de riesgo? Vamos a averiguar.
¿Qué es un Honeypot?
Un honeypot es una tecnología de engaño empleada por los equipos de seguridad para atrapar intencionalmente a los actores de amenazas. Como parte integral de un sistema de detección e inteligencia de amenazas, un honeypot funciona simulando infraestructuras, servicios y configuraciones críticas para que los atacantes puedan interactuar con estas TI falsas activos.
Los honeypots generalmente se implementan junto a los sistemas de producción que una organización ya usa y pueden ser un activo valioso para aprender más sobre el comportamiento de los atacantes y las herramientas y tácticas que emplean para llevar a cabo la seguridad ataques.
¿Puede un Honeypot ayudar a mitigar los ciberataques?
Un honeypot atrae objetivos maliciosos al sistema al dejar intencionalmente una parte de la red abierta a los actores de amenazas. Esto permite a las organizaciones realizar un ciberataque en un entorno controlado para evaluar las posibles vulnerabilidades en su sistema.
El objetivo final de un honeypot es mejorar la postura de seguridad de una organización al utilizando seguridad adaptativa. Si está configurado correctamente, un honeypot puede ayudar a recopilar la siguiente información:
- El origen de un ataque
- El comportamiento del atacante y su nivel de habilidad.
- Información sobre los objetivos más vulnerables dentro de la red
- Las técnicas y tácticas empleadas por los atacantes.
- La eficacia de las políticas de ciberseguridad existentes para mitigar ataques similares
Una gran ventaja de un honeypot es que puede convertir cualquier servidor de archivos, enrutador o recurso informático a través de la red en uno. Además de recopilar información sobre las brechas de seguridad, un honeypot también puede reducir el riesgo de falsos positivos, ya que solo atrae a ciberdelincuentes reales.
Los diferentes tipos de Honeypots
Los Honeypots vienen en varios diseños, dependiendo del tipo de implementación. A continuación, enumeramos algunos de estos.
Honeypots por propósito
Los honeypots se clasifican principalmente por propósitos tales como un honeypot de producción o un honeypot de investigación.
Honeypot de producción: Un honeypot de producción es el tipo más común y se utiliza para recopilar información de inteligencia sobre ciberataques dentro de una red de producción. Un honeypot de producción puede recopilar atributos como direcciones IP, intentos de violación de datos, fechas, tráfico y volumen.
Si bien los honeypots de producción son fáciles de diseñar e implementar, no pueden proporcionar inteligencia sofisticada, a diferencia de sus contrapartes de investigación. Como tales, en su mayoría son empleados por empresas privadas e incluso personalidades de alto perfil, como celebridades y figuras políticas.
Investigación Honeypot: Un tipo más complejo de honeypot, un honeypot de investigación está hecho para recopilar información sobre métodos y tácticas específicos utilizados por los atacantes. También se utiliza para descubrir las posibles vulnerabilidades que existen dentro de un sistema en relación con las tácticas aplicadas por los atacantes.
Los honeypots de investigación son utilizados principalmente por entidades gubernamentales, la comunidad de inteligencia y las organizaciones de investigación para estimar el riesgo de seguridad de una organización.
Honeypots por niveles de interacción
Los honeypots también se pueden clasificar por atributos. Esto simplemente significa asignar el señuelo en función de su nivel de interacción.
Honeypots de alta interacción: Estos honeypots no contienen demasiados datos. No están diseñados para imitar un sistema de producción a gran escala, pero ejecutan todos los servicios que haría un sistema de producción, como un sistema operativo completamente funcional. Estos tipos de honeypots permiten a los equipos de seguridad ver las acciones y estrategias de los atacantes intrusos en tiempo real.
Los honeypots de alta interacción suelen consumir muchos recursos. Esto puede presentar desafíos de mantenimiento, pero la información que ofrecen vale la pena el esfuerzo.
Honeypots de baja interacción: Estos honeypots se implementan principalmente en entornos de producción. Al ejecutarse en un número limitado de servicios, sirven como puntos de detección temprana para los equipos de seguridad. Los honeypots de baja interacción están en su mayoría inactivos, esperando que suceda alguna actividad para que puedan alertarlo.
Dado que estos honeypots carecen de servicios completamente funcionales, no les queda mucho por lograr a los ciberatacantes. Sin embargo, son bastante fáciles de implementar. Un ejemplo típico de un honeypot de baja interacción sería bots automatizados que escanean en busca de vulnerabilidades en el tráfico de Internet, como bots SSH, fuerzas brutas automatizadas y bots de verificación de desinfección de entrada.
Honeypots por tipo de actividad
Los honeypots también se pueden clasificar según el tipo de actividades que infieren.
Honeypots de malware: A veces, los atacantes intentan infectar sistemas abiertos y vulnerables alojando una muestra de malware en ellos. Dado que las direcciones IP de los sistemas vulnerables no están en una lista de amenazas, es más fácil para los atacantes alojar malware.
Por ejemplo, se puede utilizar un honeypot para imitar un dispositivo de almacenamiento de bus serie universal (USB). Si una computadora es atacada, el honeypot engaña al malware para que ataque el USB simulado. Esto permite a los equipos de seguridad adquirir grandes cantidades de nuevas muestras de malware de los atacantes.
Honeypots de spam: Estos honeypots atraen a los spammers mediante el uso de proxies abiertos y retransmisiones de correo. Se utilizan para recopilar información sobre spam nuevo y spam basado en correo electrónico, ya que los spammers realizan pruebas en retransmisiones de correo utilizándolos para enviarse mensajes de correo electrónico a sí mismos.
Si los spammers envían con éxito grandes cantidades de spam, el honeypot puede identificar la prueba del spammer y bloquearla. Cualquier retransmisión SMTP abierta falsa se puede utilizar como honeypots de spam, ya que pueden proporcionar conocimiento sobre las tendencias actuales de spam e identificar quién está utilizando la retransmisión SMTP de la organización para enviar los correos electrónicos no deseados.
Honeypots del cliente: Como sugiere el nombre, los honeypots del cliente imitan las partes críticas del entorno de un cliente para ayudar con ataques más dirigidos. Si bien no se utilizan datos de lectura para este tipo de honeypots, pueden hacer que cualquier host falso parezca similar a uno legítimo.
Un buen ejemplo de un honeypot de cliente sería el uso de datos imprimibles, como información del sistema operativo, puertos abiertos y servicios en ejecución.
Proceda con precaución al utilizar un honeypot
Con todas sus maravillosas ventajas, un honeypot tiene el potencial de ser explotado. Si bien un honeypot de baja interacción puede no presentar ningún riesgo de seguridad, un honeypot de alta interacción a veces puede convertirse en un experimento arriesgado.
Un honeypot que se ejecuta en un sistema operativo real con servicios y programas puede ser complicado de implementar y puede aumentar involuntariamente el riesgo de intrusión externa. Esto se debe a que si el honeypot está configurado incorrectamente, podría terminar otorgando acceso a los piratas informáticos a su información confidencial sin saberlo.
Además, los ciberataques se vuelven más inteligentes día a día y pueden buscar honeypots mal configurados para secuestrar sistemas conectados. Antes de aventurarse en el uso de un honeypot, tenga en cuenta que cuanto más simple es el honeypot, menor es el riesgo.
Al requerir una interacción "cero" del usuario, ninguna cantidad de precauciones de seguridad o vigilancia puede disuadir un ataque sin hacer clic. Exploremos más.
Leer siguiente
- Seguridad
- La seguridad cibernética
- Seguridad en línea
- Seguridad
Kinza es una periodista de tecnología con una licenciatura en redes informáticas y numerosas certificaciones de TI en su haber. Trabajó en la industria de las telecomunicaciones antes de incursionar en la redacción técnica. Con un nicho en temas de ciberseguridad y basados en la nube, le gusta ayudar a las personas a comprender y apreciar la tecnología.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse