HoneyPot


Fecha: 20 de abril de 2024



Un Honeypot, más conocido como “sistema trampa” o “señuelo”, está ubicado en una red o sistema informático con el objetivo de aportar información sobre actividades maliciosas y ayudar con esta inteligencia a prevenir un posible ataque al sistema informático.

La función principal de esta herramienta es detectar y obtener información de actividad maliciosa o definitivamente de un ataque informático, y, sobre todo, de dónde procede para posteriormente tomar las medidas de seguridad necesarias.

Actualmente los honeypot son realmente potentes y nos permiten «simular» el comportamiento real de un sistema, haciendo creer a los ciberatacantes que han entrado a un sistema real, y que es fácil hacerse con el control. Sin embargo, estarán en un sistema aislado donde nosotros podremos ver exactamente qué es lo que están haciendo y qué vulnerabilidades están intentando explotar.

A continuación, mencionaremos diferentes opciones como sugerencia para ubicación de una HoneyPot en la red de las organizaciones.

Ubicaciones de los HoneyPot:

  • HoneyPot antes del Firewall: En esta ubicación es en la que menos riesgo se suministra a la red, ya que, al encontrarse fuera de la zona protegida por el Firewall, puede ser atacado sin ningún tipo de peligro para el resto de la red.
  • HoneyPot después del Firewall: En esta ubicación el acceso al Honeypot está dirigido por las reglas de filtrado del firewall, su ubicación permite la detección de los atacantes internos.
  • HoneyPot en la zona desmilitarizada: Esta es una de las mejores ubicaciones, ya que permite detectar ataques externos e internos; para esto se requiere de una reconfiguración del Firewall.

La ubicación final del Honeypot dependerá principalmente de los requerimientos que tenga la organización basándose en los objetivos y metas del negocio.

Ventajas de una HoneyPot :

  • Las HoneyPot son una tecnología con un concepto muy simple y con una fortaleza muy poderosa.
  • Los recursos necesarios a utilizar son mínimos, de esta forma se puede implementar una plataforma lo suficientemente potente para operar a gran escala.
  • Trabaja en entornos sobre IPv6, es decir, el Honeypot detectará un ataque sobre IPv6 de la misma forma que lo hace con un ataque sobre Ipv4.
  • El tráfico cifrado dirigido a los sistemas Honeypot es fácil de analizar.
  • A diferencia de dispositivos como firewalls, IDS o IPS, los honeypots recopilan pocos datos, por lo que son de muy alto valor.

El análisis de los datos recopilados es muy fácil y permite una reacción más rápida. Además, proporcionan información sobre el atacante, como su metodología, sus herramientas e inclusive su propósito y grado de conocimiento.

  • Una HoneyPot permite justificar no solo su valor, sino también el del resto de los otros dispositivos de seguridad, ya que evidencia que las amenazas están presentes y los ataques son constantes.
  • Puede distraer a los atacantes y dar tiempo al personal de TI y seguridad a proteger lo que realmente importa.

Desventajas de una HoneyPot :

  • Tienen un campo de visión estrecho, solo ven aquella actividad que está dirigida contra ellos. Si un atacante irrumpe en una red y ataca una variedad de sistemas, una HoneyPot será inconsciente de la actividad a menos que sea atacado directamente.
  • Los Honeypots pueden llegar a constituir un riesgo potencial para la red, esto debido a la atracción que se genera a los posibles atacantes, es por ello que si no se configura adecuadamente el alcance del Honeypot y se convierte en un entorno controlado y cerrado, puede ser utilizado como punto de inicio para ataques a otras redes o incluso a la misma ubicación de los Honeypots en la red.
  • Un honeypot no es una solución que se configure una vez y se la deje en producción, requiere mantenimiento y supervisión para poder sumar valor a la entidad, así como personal y tiempo dedicado al análisis de ataques recibidos.


Referencias:



Tags:  jails honeypot hackers


Abril 2025

Crítico
SEGURIDAD EN EL DESARROLLO DE SOFTWARE: ¿CÓMO INTEGRARLA DESDE EL INICIO?

La seguridad en el desarrollo de software es un aspecto fundamental que debe ser considerado desde el inicio del ciclo de vida del desarrollo, es esencial que las organizaciones integren prácticas de seguridad en cada etapa del desarrollo.

Crítico
AUDITORÍAS DE SEGURIDAD: ¿CÓMO REALIZARLAS DE MANERA EFECTIVA?

La auditoría de seguridad es un proceso sistemático y estructurado que evalúa la eficacia de las medidas de seguridad de una organización.