Un honeypot, sistema trampa o señuelo, es una herramienta de la seguridad informática dispuesta en una red o sistema informático que simulan ser equipos vulnerables para ser el objetivo de un ataque.
Estos honeypots han ido evolucionando y actualmente se implementan en forma de honeynets que son redes enteras de honeypots que simulan sistemas completos, permitiendo así recabar mucha más información sobre los ataques.
El honeypot puede estar configurado para que realice distintas acciones una vez un atacante se introduce en él.
1. Alertar: puede estar configurado simplemente para que alerte una vez un atacante se introduce pero sin realizar ninguna acción más.
2. Obtener información: obtener toda la información sobre qué está haciendo y utilizando el atacante.
3. Ralentizar: ralentizar el ataque lo máximo posible.
4. Una combinación de todas las anteriores.
Sabiendo esto, si una empresa despliega un honeypot no hay razón legítima para que los usuarios de esa organización intenten acceder a él, por lo que cualquier interacción con el equipo puede considerarse maliciosa. La idea de este sistema es hacer creer al atacante que está entrando a un sistema real, sin embargo, está realizando sus actividades maliciosas en un ambiente completamente controlado por nosotros.
Convencer a un atacante para que caiga en el honeypot implica en parte cometer los descuidos normales que tiene una persona pero de forma voluntaria en lugares de internet frecuentemente visitados por los atacantes, como incluir contraseñas en blocs de notas o en Github, una página donde millones de personas comparten sus proyectos y donde es habitual ciertos despistes por parte de los usuarios.
Una vez puesta la trampa, un atacante puede entrar al honeypot y bajo el pensamiento de haber accedido a algo seguro e importante, comenzar a tirar de código y a utilizar todas sus herramientas para intentar robar toda la información disponible e incluso enviar esa información a otras redes, criminales o no, que estén interesadas en el ataque, todo esto bajo nuestro control y conocimiento.
Como todo, esta técnica tiene sus ventajas y sus inconvenientes. En cuanto a las ventajas encontramos una mencionada anteriormente, cualquier actividad registrada puede considerarse como maliciosa, en un sistema real existe mucho tráfico y sería difícil detectar un ataque. Por esto mismo los honeypots tienen un tráfico muy reducido, por lo que exigen pocos recursos y no tienen grandes exigencias para desplegarlos. Existen honeypots ya escritos en línea, lo que reduce la cantidad de trabajo interno para poner uno en marcha. Tienen una baja tasa de falsos positivos en contraste con otros sistemas tradicionales. Proporcionan información sobre nuevas técnicas de intrusión que hayan desarrollado los atacantes.
En cuanto a los peligros de un honeypot encontramos que estos no detectan todo lo que sucede, si no solo la actividad que está dirigido a ellos. Que una amenaza no haya apuntado al honeypot no significa que no exista por lo que es importante no depender únicamente de ellos para detectar amenazas. Existe la posibilidad de que un atacante se de cuenta de que es un honeypot y se ponga a atacar a los otros sistemas dejando el honeypot intacto, o lo que es peor, utilizarlo para acceder a tus sistemas, es por ello que se deben tener otros controles de seguridad como pueden ser los firewall.
En conclusión los honeypot son herramientas muy útiles que pueden ayudar a proteger a tu organización y a obtener gran cantidad de información sobre un atacante pero que deben complementar a otras técnicas de seguridad.
Diego Calvo Maroñas (DLTCode)
