Un honeypot (del inglés, "tarro de miel") es una herramienta de ciberseguridad que actúa como una trampa o señuelo para los ciberdelincuentes. Se trata de un sistema informático, una aplicación o una red que se despliega intencionalmente para que parezca un objetivo atractivo y vulnerable, con el fin de atraer a los atacantes y observar su comportamiento.
El propósito principal de un honeypot no es proteger datos reales, sino recopilar información sobre las amenazas y los atacantes. Cuando un ciberdelincuente intenta comprometer el honeypot, los profesionales de la seguridad pueden registrar y analizar:
Esta información es invaluable para fortalecer las defensas de la red principal de una empresa, ya que permite identificar debilidades, anticipar futuros ataques y mejorar la postura de seguridad general.
Los honeypots se pueden clasificar de varias maneras según diferentes criterios:
| Tipo | Protocolo/Servicio | Objetivos Comunes |
|---|---|---|
| SSH Honeypot | SSH (Puerto 22) | Ataques de fuerza bruta, credenciales comprometidas |
| Web Honeypot | HTTP/HTTPS | Vulnerabilidades web, inyecciones SQL, XSS |
| Email Honeypot | SMTP/POP3/IMAP | Spam, phishing, malware por email |
| Database Honeypot | MySQL/PostgreSQL | Accesos no autorizados, extracción de datos |
| IoT Honeypot | Telnet/HTTP | Botnets IoT, dispositivos comprometidos |
| Herramienta | Protocolo | Descripción |
|---|---|---|
| Cowrie | SSH/Telnet | Honeypot SSH/Telnet con logging avanzado |
| Honeyd | Múltiple | Framework para simular múltiples hosts |
| Dionaea | SMB/HTTP/FTP | Captura malware a través de múltiples servicios |
| Conpot | SCADA/ICS | Honeypot para sistemas de control industrial |
Problema: Una empresa manufacturera experimentaba intentos de conexión sospechosos en sus dispositivos IoT.
Solución: Implementaron honeypots Cowrie y Conpot simulando dispositivos industriales vulnerables.
Resultado: Detectaron una botnet Mirai intentando comprometer dispositivos IoT, permitiendo implementar contramedidas antes del ataque real.
Problema: Organización gubernamental sospechaba de actividad de APT en su red.
Solución: Desplegaron honeypots de alta interacción con documentos señuelo.
Resultado: Identificaron técnicas TTPs específicas del grupo APT, incluyendo herramientas personalizadas y canales C&C.
Problema: Universidad necesitaba entender variantes emergentes de ransomware.
Solución: Implementaron honeypots con archivos atractivos y sistemas de backup simulados.
Resultado: Capturaron múltiples variantes de ransomware, desarrollando firmas y procedimientos de respuesta.