Un honeypot es un mecanismo de ciberseguridad que simula un objetivo de ataque diseñado para alejar a los ciberdelincuentes de los objetivos legítimos y recopilar información sobre su identidad y métodos con el fin último de mejorar la seguridad de las redes. Una vez que el intruso accede al honeypot, los equipos de operaciones de seguridad reciben una alerta y pueden actuar para obtener inteligencia sobre el atacante.
Los honeypots son esencialmente reactivos y estáticos. Con la evolución tecnológica y constante de los ciberataques, son tecnologías que pueden quedar obsoletas rápidamente, lo que facilita que los atacantes evadan la detección y permanezcan en la red.
Para qué sirven
Los honeypots son una parte importante de una estrategia integral de ciberseguridad. Su objetivo principal es exponer vulnerabilidades en la red y los sistemas, alejar a los atacantes de los objetivos reales y recopilar información útil para ayudar a las organizaciones a evolucionar y mejorar su estrategia de ciberseguridad.
Los honeypots se modelan a partir de cualquier activo digital, como aplicaciones de software, servidores o la propia red. Están diseñados para parecer reales en cuanto a estructura, componentes y contenido, ya que el objetivo es convencer a los intrusos de que han accedido a un sistema real y motivarlos a pasar tiempo dentro de este entorno controlado para evaluar las técnicas, capacidades y sofisticación del ataque.
¿Cómo funcionan los honeypots?
La premisa básica del honeypot es que debe diseñarse para parecerse al objetivo de la red que la organización está tratando de defender.
Se puede diseñar un honeypot para que parezca una pasarela de pago, que es un objetivo típico para los ciberdelincuentes porque contiene una gran cantidad de información personal y detalles de transacciones, como números de tarjetas de crédito o información de cuentas bancarias. También puede parecerse a una base de datos, lo que atraería a los atacantes interesados en recopilar información confidencial o sensible como propiedad intelectual, secretos comerciales u otra información valiosa. Incluso puede parecer que un honeypot contiene información o fotos potencialmente comprometedoras como una forma de atrapar a los adversarios cuyo objetivo es dañar la reputación de un individuo.
Una vez dentro de la red, es posible rastrear los movimientos de los intrusos para comprender mejor sus métodos y motivaciones. Esto ayudará a la organización a adaptar los protocolos de seguridad existentes para frustrar ataques similares contra objetivos legítimos en el futuro.
Para hacer que los honeypots sean más atractivos, a menudo contienen vulnerabilidades de seguridad deliberadas, pero no necesariamente obvias. Dado el conocimiento avanzado de muchos ciberatacantes, es importante que las organizaciones tengan en cuenta la facilidad con la que se puede acceder al señuelo para hacerlo más atractivo y realista. Es poco probable que una red segura engañe a un atacante sofisticado e incluso puede resultar en que el atacante proporcione información errónea o manipule el entorno para reducir la eficacia de la solución.
Tipos de honeypots
Los honeypots se pueden categorizar en función de su propósito:
- Producción. Es el tipo de honeypot más común. Las empresas utilizan este señuelo para recopilar información e inteligencia sobre ciberataques dentro de la red de producción. Esto puede incluir direcciones IP, fecha y hora del intento de intrusión, volumen de tráfico y otros atributos. Son relativamente simples de diseñar e implementar, pero son menos sofisticados que los de investigación en términos de inteligencia recopilada. Son comúnmente utilizados por corporaciones, empresas privadas e incluso personajes conocidos, como celebridades, figuras políticas y líderes empresariales.
- Investigación. Están diseñados para recopilar información sobre los métodos y técnicas específicos utilizados por los atacantes y detectar las vulnerabilidades existentes en la red y/o los activos. Suelen ser más complejos que los de producción. A menudo son utilizados por organizaciones de ciberseguridad para tener una mejor idea de los riesgos de seguridad para las organizaciones.
También es posible categorizar los honeypots por complejidad o nivel de interacción:
- Baja interacción. Los honeypots de baja interacción utilizan relativamente pocos recursos y recopilan información básica sobre el atacante. Son relativamente fáciles de configurar y mantener, pero, al mismo tiempo, son poco efectivos. La mayoría de los honeypots de producción son de baja interacción.
- Alta interacción. Están diseñados para involucrar a los ciberdelincuentes durante largos períodos de tiempo a través de una red de objetivos, como múltiples bases de datos. Esto le da a los equipos de ciberseguridad una comprensión más profunda de cómo funcionan estos adversarios, sus técnicas e incluso pistas sobre su identidad. Estos honeypots consumen más recursos y proporcionan información más relevante y de mayor calidad. Un “muro de miel”, o perímetro establecido alrededor del honeypot, debe estar adecuadamente asegurado y ofrecer solo un punto de entrada y salida. Esto garantiza que el equipo de ciberseguridad pueda monitorear y administrar todo el tráfico y evitar el movimiento lateral desde el sistema trampa hasta el real.
- Deception. Estas soluciones de ciberseguridad se basan en la inteligencia artificial, el aprendizaje automático o machine learning y otras tecnologías avanzadas para automatizar la recopilación y el análisis de datos. Las tecnologías de engaño ayudan a las organizaciones a procesar la información más rápidamente y escalar los esfuerzos en un entorno de señuelos más complejo.
Los honeypots también se pueden clasificar por el tipo de actividad que detectan:
- Correo electrónico o spam. El honeypot implementan una dirección de correo electrónico ficticia en un campo oculto que solo puede ser detectado por un recolector de direcciones automatizado o un rastreador de sitios. Dado que la dirección no es visible para los usuarios legítimos, la organización puede categorizar toda la correspondencia enviada a esa bandeja de entrada como spam. La organización puede entonces bloquear a ese remitente y su dirección IP, así como cualquier mensaje que coincida con su contenido.
- Base de datos. El señuelo es un conjunto de datos ficticios e intencionalmente vulnerables que ayuda a las organizaciones a monitorizar las debilidades del software y la arquitectura de ciberseguridad, e incluso los posibles atacantes internos. La base de datos de señuelo recopilará información sobre técnicas de inyección, secuestro de credenciales o abuso de privilegios utilizados por un atacante que luego se puede integrar en las defensas y las políticas de seguridad de la organización.
- Malware. Un honeypot de malware imita una aplicación de software o una interfaz de programación de aplicaciones (API) en un intento de generar ataques de malware en un entorno controlado. Al hacerlo, el equipo de ciberseguridad puede analizar las técnicas de ataque y desarrollar o mejorar soluciones antimalware para abordar estas vulnerabilidades o amenazas.
- Honeypot de araña. Al igual que el señuelo de spam, el de araña está diseñado para atrapar a los rastreadores web, a veces llamados arañas, mediante la creación de páginas web y enlaces.
Cómo implementar un honeypot en nuestra red
En las redes no se despliega un único honeypot, sino que se monta toda una red con múltiples sistemas, bases de datos, servidores, routers y otros activos digitales. Así, es posible involucrar a los ciberdelincuentes durante un período de tiempo más largo para recopilar más inteligencia sobre sus capacidades e identidades.
Ventajas e incovenientes de los honeypots
Los beneficios de un honeypot incluyen:
- Facilidad de análisis. El tráfico del honeypot se limita a los atacantes. Como tal, el equipo de ciberseguridad no tiene que separar el tráfico malicioso del bueno, ya que toda la actividad puede considerarse maliciosa en el señuelo. Esto significa que el equipo de ciberseguridad puede dedicar más tiempo a analizar el comportamiento de los ciberdelincuentes, en lugar de separarlos de los usuarios legítimos.
- Evolución continua. Una vez desplegados, los honeypots pueden desviar un ciberataque y recopilar información de manera continua. De esta forma, es posible que el equipo de ciberseguridad registre qué tipos de ataques se están produciendo y cómo evolucionan en el tiempo. Esto brinda a las organizaciones la oportunidad de cambiar sus protocolos de seguridad para que coincidan con las necesidades del entorno.
- Identificación de amenazas internas. Los honeypots pueden identificar amenazas de seguridad tanto internas como externas. Si bien muchas técnicas de ciberseguridad se centran en los riesgos que provienen del exterior de la organización, los señuelos también pueden atraer a actores internos que intentan acceder a los datos u otra información confidencial de la organización.
Es importante recordar que los honeypots son un componente más de una estrategia integral de ciberseguridad. Implementado de forma aislada, el señuelo no protegerá adecuadamente a la organización contra una amplia gama de amenazas y riesgos.
Algunos de los riesgos de los honeypots son:
- Si los ciberdelincuentes reconocen el señuelo, pueden inundarlo con intentos de intrusión en un esfuerzo por desviar la atención de los ataques reales, o proporcionar información errónea de manera deliberada.
- Cuando el honeypot o su entorno están mal configurados, los adversarios avanzados pueden identificar una forma de moverse lateralmente desde el señuelo a otras partes de la red. Limitar los puntos de entrada y salida para todo el tráfico del honeypot es un aspecto crítico de su diseño.