Honeypot: trampas para ciberdelincuentes

El término «honeypot» proviene del mundo del espionaje, donde se describe que espías como Mata Hari utilizan una relación romántica para robar secretos, poniendo una «trampa de miel» (honeypot en inglés). Muchas veces, un espía enemigo resulta víctima de una trampa de miel y luego se lo chantajea para que revele todo lo que sabe.

En materia de ciberseguridad

En términos de seguridad informática, un honeypot cibernético funciona de manera similar, al tender una trampa para los cibercriminales. Es un sistema informático que se “sacrifica” para atraer ciberataques, como un señuelo. Simula ser un objetivo para los ciberdelincuentes y utiliza sus intentos de intrusión para obtener información sobre los cibercriminales y la forma en que operan o para distraerlos de otros objetivos.

Cómo funcionan los honeypots

El honeypot se parece a un sistema informático real, con aplicaciones y datos, que hace creer a los ciberdelincuentes que es un objetivo legítimo. Por ejemplo, un honeypot podría imitar el sistema de facturación de clientes de una empresa, un blanco frecuente de los ataques de los delincuentes que quieren encontrar números de tarjetas de crédito. Una vez que los ciberdelincuentes están adentro, se los puede rastrear y evaluar su comportamiento para obtener pistas para mejorar la seguridad de la red.

Los honeypots tienen vulnerabilidades de seguridad intencionales para atraer a los atacantes. Por ejemplo, un honeypot podría tener puertos que respondan a un escaneo de puertos o contraseñas débiles. Los puertos vulnerables podrían dejarse abiertos para atraer a los atacantes al entorno del honeypot, en lugar de la verdadera red en servicio, que sería más segura.

Un honeypot no está configurado para abordar un problema específico, como un firewall o un antivirus.

Es una herramienta de información que puede ayudarte a comprender las amenazas actuales para tu empresa y detectar la aparición de nuevas amenazas. Gracias a la información obtenida a través de un honeypot, se pueden priorizar y centrar las iniciativas de seguridad.

Distintos tipos de honeypots y cómo funcionan

Se pueden utilizar diversos tipos de honeypots para detectar distintos tipos de amenazas. Las distintas definiciones de los honeypots se basan en el tipo de amenaza que se aborda. Todas tienen cabida en una estrategia de ciberseguridad completa y eficaz.

Las trampas de correo electrónico

o trampas de spam colocan una dirección de correo electrónico falsa en un lugar oculto donde solo un recolector de direcciones automatizado podrá encontrarla. Como la dirección solamente se utiliza como trampa de correo electrónico no deseado, hay una certeza del 100 % de que cualquier correo electrónico que llegue a ella será correo no deseado. Todos los mensajes con el mismo contenido que los enviados a la trampa de correo electrónico no deseado se bloquean automáticamente y la dirección IP de origen de los remitentes se añade a una lista negra.

Un honeypot de malware

imita las aplicaciones de software y las API para inducir ataques de malware. Luego, se analizan las características del malware para desarrollar software antimalware o para resolver las vulnerabilidades en la API.

honeypot para arañas

Su objetivo es atrapar los rastreadores web (indizadores web) creando páginas web y vínculos a los que solo los rastreadores pueden acceder. La detección de los rastreadores puede ayudarte a aprender a bloquear los bots maliciosos, así como los rastreadores de la red de publicidad.

Al monitorear el tráfico que ingresa al honeypot, puedes evaluar lo siguiente:

  • de dónde vienen los cibercriminales;
  • el nivel de amenaza;
  • qué modus operandi están usando;
  • qué datos o aplicaciones les interesan;
  • la eficacia de tus medidas de seguridad para detener los ciberataques.

honeypot de alta o baja interacción

Otra definición de honeypot analiza si este es de alta interacción o baja interacción.

Los honeypots de baja interacción utilizan menos recursos y recogen información básica sobre el nivel y el tipo de amenaza, así como su procedencia. Son fáciles y rápidos de configurar, generalmente con apenas algunos protocolos TCP e IP y servicios de red básicos simulados. Pero como el honeypot no tiene nada que permita captar al atacante durante mucho tiempo, no obtendrás información detallada sobre sus hábitos o sobre amenazas complejas.

Por otra parte, los honeypots de alta interacción tienen como objetivo que los hackers pasen el mayor tiempo posible dentro de este y brinden mucha información sobre sus intenciones y objetivos, así como sobre las vulnerabilidades que están aprovechando y su modus operandi. Imagínate un pote de miel con “adherencia” adicional: bases de datos, sistemas y procesos que pueden captar a un atacante durante mucho más tiempo. Esto permite a los investigadores rastrear adónde se dirigen los atacantes en el sistema para buscar información confidencial, qué herramientas utilizan para aumentar los privilegios o qué exploits utilizan para atacar el sistema.

No obstante, los honeypots de alta interacción exigen muchos recursos. Su configuración y monitoreo resultan más difíciles y llevan más tiempo. También pueden crear un riesgo; si no están protegidos con un “honeywall”, un ciberdelincuente  muy decidido y astuto podría usar un honeypot de alta interacción para atacar a otros hosts de Internet o para enviar correo electrónico no deseado desde una máquina afectada.

Al utilizar los honeypots cibernéticos para crear un marco de inteligencia de amenazas, una empresa puede constatar que sus gastos en ciberseguridad estén destinados a los lugares correctos y que pueda ver dónde tiene puntos débiles de seguridad.

Los peligros de los honeypots

Si bien la ciberseguridad de los honeypots ayuda a delimitar el entorno de amenaza, estos no detectan todo lo que sucede, sino solo la actividad que está dirigida a ellos. El hecho de que una determinada amenaza no haya apuntado al honeypot no significa que no exista; es importante estar al día con las noticias de seguridad informática y no depender únicamente de los honeypots para notificar amenazas.

Una vez que el atacante ha identificado las huellas digitales de un honeypot, puede crear ataques falsos para distraer la atención de un verdadero exploit dirigido contra tus sistemas de producción. También puede proporcionar información incorrecta al honeypot.

En general, las ventajas de usar honeypots superan con creces los riesgos. Con frecuencia, se piensa que los ciberdelincunetes son una amenaza distante e invisible. Sin embargo, con el uso de los honeypots, podrás ver exactamente lo que están haciendo, en tiempo real, y usar esa información para impedir que obtengan lo que quieren.

Fuente:

Kaspersky

Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on telegram
Share on whatsapp
Share on pocket

Deja un comentario